Корпорація Microsoft опублікувала звіт із докладним описом численних помилок, які призвели до того, що китайські кібершпигуни Storm-0558 зламали електронну пошту Уряду США. Аварійний дамп 2021 року випадково відкрив ключ, який китайські кібершпигуни згодом використали для зламу, повідомляє Security Week.
У матеріалі Bleeping Computer зазначено, що зловмисники використовували вкрадений ключ MSA, щоб зламати облікові записи Exchange Online й Azure Active Directory (AD) приблизно двох десятків організацій, у тому числі державних установ у Сполучених Штатах, таких як Державний департамент і Міністерство торгівлі США.
Вони використали виправлену проблему перевірки нульового дня в GetAccessTokenForResourceAPI, яка дала їм змогу підробляти підписані маркери доступу й імітувати облікові записи у цільових організаціях.
Під час розслідування атаки Storm-0558 Microsoft виявила, що ключ MSA просочився в аварійний дамп після збою системи підпису споживачів у квітні 2021 року.
Попри те, що аварійний дамп не мав містити ключів підпису, умова змагання призвела до додавання ключа. Пізніше цей аварійний дамп було перенесено з ізольованої виробничої мережі компанії до підключеного до Інтернету корпоративного середовища налагодження.
Зловмисники знайшли ключ після успішного зламу корпоративного облікового запису інженера Microsoft, який мав доступ до середовища налагодження. Воно, своєю чергою, містило ключ, помилково включений в аварійний дамп від квітня 2021 року.
Хоча у Microsoft заявили, що дамп вплинув лише на Exchange Online й Outlook, скомпрометований споживчий ключ підпису Microsoft надав Storm-0558 широкий доступ до хмарних служб Microsoft. Включно з Outlook, SharePoint, OneDrive і Teams.
У матеріалі Bleeping Computer йдеться про те, що зламаний ключ можна було використовувати лише для націлювання на застосунки, які приймали особисті облікові записи та мали помилку перевірки, використану китайськими хакерами.
У відповідь на порушення безпеки Microsoft скасувала всі дійсні ключі підпису MSA, щоб не дати зловмисникам доступу до інших зламаних ключів. Цей крок також фактично заблокував будь-які додаткові спроби створити нові маркери доступу.
Крім того, Microsoft перемістила нещодавно згенеровані маркери доступу до сховища ключів, яке використовується її корпоративними системами.
Після відкликання вкраденого ключа підпису Microsoft не знайшла додаткових доказів несанкціонованого доступу до облікових записів клієнтів із застосуванням тієї самої техніки підробки маркерів авторизації.
Під тиском CISA Microsoft також погодилася безкоштовно розширити доступ до даних хмарного журналу, щоб допомогти захисникам мережі виявляти подібні спроби зламу в майбутньому.
Раніше ProIT повідомляв, що клієнти LogicMonitor постраждали від хакерів через слабкі стандартні паролі.
Також ми писали про те, що російські хакери атакували українських військових за допомогою нової шкідливої програми для Android.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!