O que você precisa saber
- A Microsoft está sob escrutínio de um painel consultivo de segurança cibernética após a violação de várias contas pertencentes a funcionários do governo dos EUA.
- A empresa revelou agora que o grupo de hackers Storm-0558 conseguiu acessar essas contas por meio de uma chave de assinatura de um despejo de memória do Windows.
- A Microsoft afirma que a violação foi resolvida e afetou apenas o Exchange Online e o Outlook.
- Um pesquisador de segurança rebateu as alegações citando que a violação era mais generalizada, afetando plataformas Microsoft baseadas em nuvem, incluindo Outlook, SharePoint, OneDrive e Teams.
Há algum tempo, um painel consultivo de segurança cibernética dos EUA encomendado pela administração do presidente Biden lançou uma investigação sobre a Microsoft depois que um grupo de hackers chinês conhecido como Storm-0558 conseguiu violar contas de e-mail da Microsoft pertencentes a duas dúzias de agências governamentais. O painel tem como objetivo determinar o envolvimento da Microsoft no assunto, com especulações de que pode haver mais nesta história e que a empresa é pouco transparente sobre isso.
Embora a Microsoft tenha conseguido mitigar o problema, ela não forneceu um relato detalhado destacando como o incidente ocorreu e como os invasores conseguiram obter acesso às credenciais.
De acordo com um novo relatório da Computador bipandoA Microsoft indicou que Storm-0558 conseguiu acessar as credenciais dos funcionários roubando uma chave de assinatura de um despejo de memória do Windows após violar a conta corporativa de um engenheiro da Microsoft.
Os hackers usaram a chave para comprometer contas do Exchange Online e do Azure Active Directory pertencentes a várias organizações. Agências governamentais sediadas nos EUA, incluindo os Departamentos de Estado e de Comércio dos EUA, estavam entre as partes afetadas pela violação. Isto levantou várias sobrancelhas, incluindo a do senador Ron Wyden, que escreveu uma carta em 27 de julho solicitando que o Conselho de Revisão de Segurança Cibernética investigasse o assunto.
Descobrimos que esse despejo de memória, que na época se acreditava não conter material chave, foi posteriormente movido da rede de produção isolada para nosso ambiente de depuração na rede corporativa conectada à Internet. Isso é consistente com nossos processos de depuração padrão. Nossos métodos de verificação de credenciais não detectaram sua presença (esse problema foi corrigido).
Microsoft
A Microsoft detalhou ainda que o grupo de hackers chineses aproveitou um problema de validação de dia zero no GetAccessTokenForResourceAPI que desde então foi mitigado para falsificar tokens de acesso assinados, permitindo-lhes personificar as contas dos funcionários.
A empresa também detalhou que a chave MSA usada para violar as contas dos funcionários data de abril de 2021, quando vazou em um despejo de memória após o mau funcionamento do sistema de assinatura de um consumidor.
De acordo com a Microsoft:
Devido às políticas de retenção de logs, não temos logs com evidências específicas dessa exfiltração por esse ator, mas esse foi o mecanismo mais provável pelo qual o ator adquiriu a chave.
A empresa acrescentou que, embora o crash dump não devesse apresentar as chaves de assinatura, uma condição de corrida levou à sua inclusão. Notavelmente, o despejo de memória foi transferido da rede de produção da empresa para o ambiente de depuração corporativo conectado à Internet. No entanto, a Microsoft indicou que o problema já foi resolvido, citando que os seus métodos de verificação de credenciais não detectaram qualquer presença dos atacantes.
Análise: Qual foi a gravidade da violação?
De acordo com Shir Tamari, pesquisador de segurança da Wiz, a violação dos hackers chineses se espalhou além do Exchange Online e do Outlook. O pesquisador indicou que a violação proporcionou aos invasores acesso aos serviços em nuvem da Microsoft.
O acesso generalizado a esses serviços significa que os invasores podem aproveitar a chave para se passar por quase todas as plataformas Microsoft baseadas em nuvem, incluindo Outlook, SharePoint, OneDrive e Teams. Sem esquecer os aplicativos que suportam autenticação de conta da Microsoft.
No entanto, a Microsoft refutou as alegações de que a chave só poderia ser aproveitada em aplicativos que aceitassem contas pessoais. Isso, por sua vez, levou a empresa a revogar todas as chaves de assinatura válidas do MSA para prejudicar os esforços dos invasores para acessar chaves mais comprometidas. Da mesma forma, isso também bloqueou a geração de novos tokens de acesso. Por fim, a empresa transferiu os tokens de acesso gerados recentemente para o armazenamento de chaves usado em seus sistemas corporativos.
O CTO e cofundador da Wiz, Ami Luttwak, enquanto fala com BleepingComputer compartilhou os seguintes sentimentos:
Tudo no mundo da Microsoft utiliza tokens de autenticação do Azure Active Directory para acesso. Um invasor com uma chave de assinatura AAD é o invasor mais poderoso que você pode imaginar, porque pode acessar praticamente qualquer aplicativo – como qualquer usuário. Esta é a superpotência definitiva do ‘metamorfo’ da inteligência cibernética.
CEO da Tenable, Amit Yorancriticou a Microsoft inúmeras vezes, citando sua falta de transparência em relação a violações e práticas de segurança.
Reescreva o texto para BR e mantenha a HTML tags
