Дослідники стартапа з хмарної безпеки Wiz попереджають організації, які використовують платформу Microsoft M365, що викрадений корпоративний ключ підпису Microsoft Azure AD надав китайським хакерам доступ до даних за межами Exchange Online та Outlook.com. Про це повідомляє Security Week.
«Наші дослідники дійшли висновку, що компрометований ключ MSA міг дати змогу зловмисникам підробити маркери доступу для різних типів програм Azure Active Directory, включно з усіма програмами, які підтримують автентифікацію особистого облікового запису, такими як SharePoint, Teams, OneDrive», – повідомив дослідник Wiz Шир Тамарі.
Також зазначається, що хакери могли отримати доступ до додатків клієнтів Microsoft, які підтримують функцію «Вхід за допомогою Microsoft».
Фахівці компанії розповіли, що Outlook.com та Exchange Online були єдиними програмами, які постраждали в результаті зламу. Нові дослідження показують, що «цей інцидент має більший масштаб, ніж передбачалося спочатку».
«Wiz Research виявила, що компрометований ключ підпису був потужнішим, ніж здавалося, і не обмежувався лише цими двома службами», – йдеться в документі компанії.
Було надано технічні докази того, що викрадений ключ MSA міг бути використаний для підробки токенів доступу до програм Azure Active Directory, SharePoint, Microsoft Teams і Microsoft OneDrive.
«Організації, які використовують служби Microsoft та Azure, повинні вжити заходів для оцінки потенційного впливу [поза електронною поштою]», – переконаний Шир Тамарі.
Він попереджає, що клієнтам компанії може бути важко виявити використання підроблених токенів у їхніх програмах через відсутність журналів у важливих полях, пов’язаних із процесом перевірки токенів.
Хоча у Microsoft відкликали компрометований ключ і програми Azure Active Directory більше не сприйматимуть підроблені маркери як дійсні, Шир Тамарі каже, що деякі проблеми залишаються.
«Під час попередньо встановлених сеансів із клієнтськими програмами зловмисники могли використати свій доступ для встановлення стійкості. Це могло статися шляхом використання отриманих дозволів програми для видачі ключів доступу до програми або встановлення бекдорів для конкретної програми. Ми вважаємо, що ця подія матиме довгострокові наслідки для довіри до хмари й основних компонентів, які її підтримують. Мільйони програм могли стати потенційно вразливими. Як програми Microsoft, так і програми клієнтів. Більшість із них не має достатньо логів, щоб визначити, чи були вони скомпрометовані, чи ні», – додали в компанії.
Шир Тамарі з Wiz рекомендує клієнтам Microsoft терміново оновити розгорнуті версії Azure SDK до останньої версії. Також необхідно переконатися, що кеш програми оновлено, щоб знизити ризик використання зламаного ключа зловмисником.
Раніше ми писали, що Windows 11 тестує нові способи авторизації на вебсайтах – відбиток пальця і скан обличчя.