Brecha da Microsoft permitiu que hackers invadissem mais de duas dúzias de empresas por meio de tokens forjados do Azure AD

Brecha da Microsoft permitiu que hackers invadissem mais de duas dúzias de empresas

A Microsoft disse na sexta-feira que um erro de validação em seu código-fonte permitiu que os tokens do Azure Active Directory (Azure AD) fossem forjados por um ator malicioso conhecido como Storm-0558 usando uma chave de assinatura do consumidor da conta Microsoft (MSA) para violar duas dúzias de organizações.

“Storm-0558 adquiriu uma chave de assinatura de consumidor MSA inativa e a usou para forjar tokens de autenticação para empresas Azure AD e consumidores MSA para acessar OWA e Outlook.com”, disse a gigante da tecnologia em uma análise mais profunda da campanha. “O método pelo qual o ator adquiriu a chave é uma questão de investigação em andamento.”

“Embora a chave fosse destinada apenas para contas MSA, um problema de validação permitiu que essa chave fosse confiável para assinar tokens do Azure AD. Esse problema foi corrigido.”

Não está imediatamente claro se o problema de validação do token foi explorado como uma “vulnerabilidade de dia zero” ou se a Microsoft já estava ciente do problema antes de ser abusado.

Os ataques apontaram aproximadamente 25 organizações, incluindo entidades governamentais e contas de consumidores associadas, para obter acesso não autorizado a e-mails e exfiltrar dados de caixas de correio. Nenhum outro ambiente foi afetado.

A empresa foi informada sobre o incidente depois que o Departamento de Estado dos EUA detectou atividade anômala de e-mail relacionada ao acesso a dados do Exchange Online. Suspeita-se que Storm-0558 seja um agente de ameaças baseado na China que realiza atividades cibernéticas maliciosas que são consistentes com espionagem, embora a China tenha refutado as alegações.

Os principais alvos da equipe de hackers incluem órgãos governamentais diplomáticos, econômicos e legislativos dos EUA e da Europa e indivíduos conectados aos interesses geopolíticos de Taiwan e Uyghur, bem como empresas de mídia, think tanks e equipamentos de telecomunicações e provedores de serviços.

Diz-se que está ativo desde pelo menos agosto de 2021, orquestrando a coleta de credenciais, campanhas de phishing e ataques de token OAuth destinados a contas da Microsoft para atingir seus objetivos.

“O Storm-0558 opera com um alto grau de habilidade técnica e segurança operacional”, disse a Microsoft, descrevendo-o como tecnicamente adepto, com bons recursos e um conhecimento profundo de várias técnicas e aplicativos de autenticação.

“Os atores estão cientes do ambiente do alvo, políticas de registro, requisitos de autenticação, políticas e procedimentos.”

O acesso inicial às redes de destino é realizado por meio de phishing e exploração de falhas de segurança em aplicativos voltados para o público, levando à implantação do web shell China Chopper para acesso backdoor e uma ferramenta chamada Cigril para facilitar o roubo de credenciais.

Também empregados pelo Storm-0558 são os scripts PowerShell e Python para extrair dados de e-mail, como anexos, informações de pastas e conversas inteiras usando chamadas de API do Outlook Web Access (OWA).

A Microsoft disse que desde a descoberta da campanha em 16 de junho de 2023, “identificou a causa raiz, estabeleceu o rastreamento durável da campanha, interrompeu atividades maliciosas, endureceu o ambiente, notificou todos os clientes afetados e coordenou várias entidades governamentais”. Ele também observou que mitigou o problema “em nome dos clientes” a partir de 26 de junho de 2023.