O que você precisa saber
- A Microsoft está sob escrutínio de um painel consultivo de segurança cibernética após a violação de várias contas pertencentes a funcionários do governo dos EUA.
- A empresa revelou agora que o grupo de hackers Storm-0558 conseguiu acessar essas contas por meio de uma chave de assinatura de um despejo de memória do Windows.
- A Microsoft afirma que a violação foi resolvida e afetou apenas o Exchange Online e o Outlook.
- Um pesquisador de segurança rebateu as alegações citando que a violação era mais generalizada, afetando plataformas Microsoft baseadas em nuvem, incluindo Outlook, SharePoint, OneDrive e Teams.
Há algum tempo, um painel consultivo de segurança cibernética dos EUA encomendado pela administração do presidente Biden lançou uma investigação sobre a Microsoft depois que um grupo de hackers chinês conhecido como Storm-0558 conseguiu violar contas de e-mail da Microsoft pertencentes a duas dúzias de agências governamentais. O painel tem como objetivo determinar o envolvimento da Microsoft no assunto, com especulações de que pode haver mais nesta história e que a empresa é pouco transparente sobre isso.
Embora a Microsoft tenha conseguido mitigar o problema, ela não forneceu um relato detalhado destacando como o incidente ocorreu e como os invasores conseguiram obter acesso às credenciais.
De acordo com um novo relatório da Computador bipandoA Microsoft indicou que Storm-0558 conseguiu acessar as credenciais dos funcionários roubando uma chave de assinatura de um despejo de memória do Windows após violar a conta corporativa de um engenheiro da Microsoft.
Os hackers usaram a chave para comprometer contas do Exchange Online e do Azure Active Directory pertencentes a várias organizações. Agências governamentais sediadas nos EUA, incluindo os Departamentos de Estado e de Comércio dos EUA, estavam entre as partes afetadas pela violação. Isto levantou várias sobrancelhas, incluindo a do senador Ron Wyden, que escreveu uma carta em 27 de julho solicitando que o Conselho de Revisão de Segurança Cibernética investigasse o assunto.
A Microsoft detalhou ainda que o grupo de hackers chineses aproveitou um problema de validação de dia zero no GetAccessTokenForResourceAPI que desde então foi mitigado para falsificar tokens de acesso assinados, permitindo-lhes personificar as contas dos funcionários.
A empresa também detalhou que a chave MSA usada para violar as contas dos funcionários data de abril de 2021, quando vazou em um despejo de memória após o mau funcionamento do sistema de assinatura de um consumidor.
De acordo com a Microsoft:
Devido às políticas de retenção de logs, não temos logs com evidências específicas dessa exfiltração por esse ator, mas esse foi o mecanismo mais provável pelo qual o ator adquiriu a chave.
A empresa acrescentou que, embora o crash dump não devesse apresentar as chaves de assinatura, uma condição de corrida levou à sua inclusão. Notavelmente, o despejo de memória foi transferido da rede de produção da empresa para o ambiente de depuração corporativo conectado à Internet. No entanto, a Microsoft indicou que o problema já foi resolvido, citando que os seus métodos de verificação de credenciais não detectaram qualquer presença dos atacantes.
Análise: Qual foi a gravidade da violação?
De acordo com Shir Tamari, pesquisador de segurança da Wiz, a violação dos hackers chineses se espalhou além do Exchange Online e do Outlook. O pesquisador indicou que a violação proporcionou aos invasores acesso aos serviços em nuvem da Microsoft.
O acesso generalizado a esses serviços significa que os invasores podem aproveitar a chave para se passar por quase todas as plataformas Microsoft baseadas em nuvem, incluindo Outlook, SharePoint, OneDrive e Teams. Sem esquecer os aplicativos que suportam autenticação de conta da Microsoft.
No entanto, a Microsoft refutou as alegações de que a chave só poderia ser aproveitada em aplicativos que aceitassem contas pessoais. Isso, por sua vez, levou a empresa a revogar todas as chaves de assinatura válidas do MSA para prejudicar os esforços dos invasores para acessar chaves mais comprometidas. Da mesma forma, isso também bloqueou a geração de novos tokens de acesso. Por fim, a empresa transferiu os tokens de acesso gerados recentemente para o armazenamento de chaves usado em seus sistemas corporativos.
O CTO e cofundador da Wiz, Ami Luttwak, enquanto fala com BleepingComputer compartilhou os seguintes sentimentos:
Tudo no mundo da Microsoft utiliza tokens de autenticação do Azure Active Directory para acesso. Um invasor com uma chave de assinatura AAD é o invasor mais poderoso que você pode imaginar, porque pode acessar praticamente qualquer aplicativo – como qualquer usuário. Esta é a superpotência definitiva do ‘metamorfo’ da inteligência cibernética.
CEO da Tenable, Amit Yorancriticou a Microsoft inúmeras vezes, citando sua falta de transparência em relação a violações e práticas de segurança.
Reescreva o texto para BR e mantenha a HTML tags