Microsoft reveló el miércoles que un actor de amenazas con sede en China conocido como Tormenta-0558 adquirió la clave de firma del consumidor inactivo para falsificar tokens para acceder a Outlook comprometiendo la cuenta corporativa de un ingeniero.
Esto permitió al adversario acceder a un entorno de depuración que contenía un volcado de memoria del sistema de firma del consumidor que tuvo lugar en abril de 2021 y robar la clave.
«Una falla del sistema de firma del consumidor en abril de 2021 resultó en una instantánea del proceso fallado (‘volcado de falla’)», el Centro de respuesta de seguridad de Microsoft (MSRC) dicho en un informe post mortem.
«Los volcados de emergencia, que redactan información confidencial, no deben incluir la clave de firma. En este caso, una condición de carrera permitió que la clave estuviera presente en el volcado de emergencia. Nuestros sistemas no detectaron la presencia del material clave en el volcado de emergencia. «
El fabricante de Windows dijo que el volcado de memoria se trasladó a un entorno de depuración en la red corporativa conectada a Internet, desde donde se sospecha que Storm-0558 adquirió la clave después de infiltrarse en la cuenta corporativa del ingeniero.
Actualmente no se sabe si este es el mecanismo exacto que adoptó el actor de amenazas, ya que Microsoft señaló que no tiene registros que ofrezcan pruebas concretas de la exfiltración debido a sus políticas de retención de registros.
El informe de Microsoft alude además al phishing y la implementación de malware para robar tokens, pero no detalla el modus operandi de cómo se violó la cuenta del ingeniero en primer lugar, si otras cuentas corporativas fueron pirateadas y cuándo se dio cuenta. del compromiso.
Dicho esto, el último desarrollo ofrece información sobre una serie de contratiempos de seguridad en cascada que culminaron en que la clave de firma terminara en manos de un actor calificado con un «alto grado de habilidad técnica y seguridad operativa».
Storm-0558 es el apodo asignado por Microsoft a un grupo de piratas informáticos que se ha relacionado con la infracción de aproximadamente 25 organizaciones utilizando la clave de firma del consumidor y obteniendo acceso no autorizado a Outlook Web Access (OWA) y Outlook.com.
El problema del día cero se atribuyó a un error de validación que permitía confiar en la clave para firmar tokens de Azure AD. La evidencia muestra que la actividad cibernética maliciosa comenzó un mes antes de ser detectada en junio de 2023.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
Esto, a su vez, fue posible porque «el sistema de correo aceptaría una solicitud de correo electrónico empresarial utilizando un token de seguridad firmado con la clave del consumidor». Desde entonces, Microsoft ha rectificado el «problema».
La empresa de seguridad en la nube Wiz reveló posteriormente en julio que la clave de firma del consumidor de Microsoft comprometida podría haber permitido un acceso generalizado a otros servicios en la nube.
Microsoft, sin embargo, dijo que no encontró evidencia adicional de acceso no autorizado a aplicaciones fuera de las bandejas de entrada de correo electrónico. También amplió el acceso al registro de seguridad tras las críticas de que la función estaba limitada a clientes con licencias Purview Audit (Premium), restringiendo así los datos forenses a otros.