Los piratas informáticos chinos piratearon cuentas utilizando una secreto de firma

Índice
  1. Que quieres saber
  2. Análisis: ¿Qué tan grave fue la infracción?

Que quieres saber

  • Microsoft ha sido objeto de escrutinio por parte de un comité asesor de ciberseguridad tras la violación de varias cuentas pertenecientes a funcionarios del gobierno estadounidense.
  • La compañía ahora ha revelado que el grupo de hackers Storm-0558 pudo acceder a estas cuentas a través de una clave de firma de un volcado de memoria de Windows.
  • Microsoft dice que la falla se solucionó y solo afectó a Exchange Online y Outlook.
  • Un investigador de seguridad refutó las afirmaciones diciendo que la violación era más generalizada y afectaba a las plataformas basadas en la nube de Microsoft, incluidas Outlook, SharePoint, OneDrive y Teams.

Hace algún tiempo, un comité asesor de ciberseguridad estadounidense encargado por la administración del presidente Biden inició una investigación sobre Microsoft después de que un grupo de piratas informáticos chinos conocidos como Storm-0558 lograran piratear las cuentas de la plataforma de correo electrónico de Microsoft, propiedad de dos docenas de agencias gubernamentales. El panel tiene como objetivo determinar la participación de Microsoft en el asunto, con especulaciones de que la historia puede ser más compleja y que la compañía está lejos de ser transparente al respecto.

Aunque Microsoft logró mitigar el problema, no proporcionó una explicación detallada de cómo ocurrió el incidente y cómo los atacantes pudieron acceder a las credenciales.

Según un nuevo informe de BleepingComputer, Microsoft dijo que Storm-0558 pudo acceder a las credenciales de funcionarios gubernamentales robando una clave de firma en un fallo de Windows después de violar la cuenta corporativa de un ingeniero de Microsoft.

Los piratas informáticos utilizaron la clave para comprometer cuentas de Exchange Online y Azure Active Directory que pertenecen a varias organizaciones. Las agencias gubernamentales con sede en EE. UU., incluidos los Departamentos de Estado y Comercio de EE. UU., se encontraban entre las partes afectadas por esta infracción. Esto sorprendió a varias personas, incluido el senador Ron Wyden, quien escribió una carta el 27 de julio pidiendo a la Junta de Revisión de Seguridad Cibernética que investigara el asunto.

Descubrimos que este volcado de memoria, que en ese momento se creía que no contenía elementos clave, se había trasladado de la red de producción aislada a nuestro entorno de depuración en la red corporativa conectada a Internet. Esto es consistente con nuestros procesos de depuración estándar. Nuestros métodos de análisis de credenciales no detectaron su presencia (este problema se ha solucionado).

microsoft

Microsoft explicó además que el grupo de hackers chinos aprovechó un problema de validación de día cero en GetAccessTokenForResourceAPI que desde entonces se ha mitigado para falsificar tokens de acceso firmados, lo que les permite hacerse pasar por cuentas oficiales.

La compañía también aclaró que la clave MSA utilizada para piratear cuentas de funcionarios gubernamentales se remonta a abril de 2021, cuando se filtró en un depósito de chatarra después de que el sistema de firma de un consumidor fallara.

Según Microsoft:

Debido a las políticas de retención de registros, no tenemos registros que contengan evidencia específica de esta exfiltración por parte de este actor, pero este es el mecanismo más probable por el cual el actor adquirió la clave.

La compañía agregó que aunque el volcado de memoria no debería haber contenido las claves de firma, una condición de carrera motivó su inclusión. En particular, el volcado de memoria se trasladó de la red de producción de la empresa a su entorno de depuración empresarial conectado a Internet. Sin embargo, Microsoft dijo que el problema ya se resolvió y dijo que sus métodos de análisis de credenciales no detectaron ninguna presencia de los atacantes.

Análisis: ¿Qué tan grave fue la infracción?

Microsoft Outlook en Android

(Crédito de la imagen: futuro)

Según el investigador de seguridad de Wiz, Shir Tamari, la infracción de los piratas informáticos chinos se extendió más allá de Exchange Online y Outlook. El investigador dijo que la violación permitió a los atacantes acceder a los servicios en la nube de Microsoft.

El acceso generalizado a estos servicios significa que los atacantes podrían aprovechar la clave para hacerse pasar por casi cualquier plataforma de Microsoft basada en la nube, incluidas Outlook, SharePoint, OneDrive y Teams. Sin olvidar las aplicaciones que admiten la autenticación de cuentas de Microsoft.

Sin embargo, Microsoft refutó las afirmaciones de que la clave sólo podría usarse en aplicaciones que acepten cuentas personales. Esto luego llevó a la compañía a revocar todas las claves de firma MSA válidas para paralizar los esfuerzos de los atacantes por acceder a más claves comprometidas. Asimismo, esto también bloqueó la generación de nuevos tokens de acceso. Finalmente, la empresa trasladó los tokens de acceso generados recientemente al almacén de claves utilizado en sus sistemas empresariales.

Ami Luttwak, CTO y cofundador de Wiz, compartió los siguientes sentimientos mientras hablaba con BleepingComputer:

Todo en el mundo de Microsoft aprovecha los tokens de autenticación de Azure Active Directory para el acceso. Un atacante con una clave de firma AAD es el atacante más poderoso que puedas imaginar porque puede acceder a casi cualquier aplicación, como cualquier usuario. Esta es la superpotencia definitiva del “cambiaformas” de la ciberinteligencia.

El director ejecutivo de Tenable, Amit Yoran, ha criticado repetidamente a Microsoft, citando su falta de transparencia con respecto a las vulnerabilidades y prácticas de seguridad.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir