Microsoft dijo el viernes que un error de validaci\u00f3n en su c\u00f3digo fuente permiti\u00f3 que los tokens de Azure Active Directory (Azure AD) fueran falsificados por un actor malicioso conocido como Storm-0558 utilizando una clave de firma de consumidor de cuenta de Microsoft (MSA) para violar dos docenas de organizaciones.<\/p>\n
“Storm-0558 adquiri\u00f3 una clave de firma de consumidor de MSA inactiva y la us\u00f3 para falsificar tokens de autenticaci\u00f3n para la empresa Azure AD y el consumidor de MSA para acceder a OWA y Outlook.com”, el gigante tecnol\u00f3gico dicho<\/a> en un an\u00e1lisis m\u00e1s profundo de la campa\u00f1a. “El m\u00e9todo por el cual el actor adquiri\u00f3 la clave es un tema de investigaci\u00f3n en curso”.<\/p>\n “Aunque la clave estaba destinada solo para cuentas MSA, un problema de validaci\u00f3n permiti\u00f3 que esta clave fuera confiable para firmar tokens de Azure AD. Este problema se ha corregido”.<\/p>\n No est\u00e1 claro de inmediato si el problema de validaci\u00f3n del token se explot\u00f3 como una “vulnerabilidad de d\u00eda cero” o si Microsoft ya estaba al tanto del problema antes de que sufriera un abuso en la naturaleza.<\/p>\n Los ataques seleccionaron a aproximadamente 25 organizaciones, incluidas entidades gubernamentales y cuentas de consumidores asociadas, para obtener acceso no autorizado al correo electr\u00f3nico y filtrar datos de buzones. No se dice que ning\u00fan otro entorno se haya visto afectado.<\/p>\n El alcance exacto de la violaci\u00f3n sigue sin estar claro, pero es el \u00faltimo ejemplo de un actor de amenazas con sede en China que realiza ciberataques en busca de informaci\u00f3n confidencial y realiza un golpe de inteligencia sigiloso sin llamar la atenci\u00f3n durante al menos un mes antes de que se descubriera en junio de 2023.<\/p>\n La empresa recibi\u00f3 un aviso sobre el incidente despu\u00e9s de que el Departamento de Estado de EE. UU. detectara una actividad de correo electr\u00f3nico an\u00f3mala relacionada con el acceso a datos de Exchange Online. Se sospecha que Storm-0558 es un actor de amenazas con sede en China que realiza actividades cibern\u00e9ticas maliciosas que son consistentes con el espionaje, aunque China ha refutado las acusaciones.<\/p>\n Los objetivos principales del equipo de pirater\u00eda incluyen los \u00f3rganos de gobierno diplom\u00e1ticos, econ\u00f3micos y legislativos de EE. UU. y Europa, y las personas conectadas con los intereses geopol\u00edticos de Taiw\u00e1n y Uyghur, as\u00ed como las empresas de medios, los grupos de expertos y los proveedores de servicios y equipos de telecomunicaciones.<\/p>\n Se dice que ha estado activo desde al menos agosto de 2021, orquestando la recolecci\u00f3n de credenciales, campa\u00f1as de phishing y ataques de tokens OAuth dirigidos a cuentas de Microsoft para lograr sus objetivos.<\/p>\n “Storm-0558 opera con un alto grado de oficio t\u00e9cnico y seguridad operativa”, dijo Microsoft, describi\u00e9ndolo como t\u00e9cnicamente h\u00e1bil, con buenos recursos y con una comprensi\u00f3n aguda de varias t\u00e9cnicas y aplicaciones de autenticaci\u00f3n.<\/p>\n “Los actores son muy conscientes del entorno del objetivo, las pol\u00edticas de registro, los requisitos de autenticaci\u00f3n, las pol\u00edticas y los procedimientos”.<\/p>\n El acceso inicial a las redes de destino se realiza a trav\u00e9s de la suplantaci\u00f3n de identidad y la explotaci\u00f3n de fallas de seguridad en las aplicaciones p\u00fablicas, lo que lleva a la implementaci\u00f3n del shell web de China Chopper para el acceso de puerta trasera y una herramienta llamada Cigrilo<\/a> para facilitar el robo de credenciales.<\/p>\n Storm-0558 tambi\u00e9n emplea secuencias de comandos de PowerShell y Python para extraer datos de correo electr\u00f3nico, como archivos adjuntos, informaci\u00f3n de carpetas y conversaciones completas mediante llamadas a la API de Outlook Web Access (OWA).<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n \u00danete hoy<\/a><\/section>\n Microsoft dijo que desde el descubrimiento de la campa\u00f1a el 16 de junio de 2023, “identific\u00f3 la causa ra\u00edz, estableci\u00f3 un seguimiento duradero de la campa\u00f1a, interrumpi\u00f3 actividades maliciosas, fortaleci\u00f3 el entorno, notific\u00f3 a cada cliente afectado y se coordin\u00f3 con m\u00faltiples entidades gubernamentales”. Tambi\u00e9n se\u00f1al\u00f3 que mitig\u00f3 el problema “en nombre de los clientes” a partir del 26 de junio de 2023.<\/p>\n La divulgaci\u00f3n se produce cuando Microsoft ha enfrentado<\/a> cr\u00edtica<\/a> por su manejo del hackeo y por bloquear las capacidades forenses detr\u00e1s de barreras de licencia adicionales, evitando as\u00ed que los clientes accedan a registros de auditor\u00eda detallados que de otro modo podr\u00edan haber ayudado a analizar el incidente.<\/p>\n “Cobrar a las personas por las caracter\u00edsticas premium necesarias para no ser pirateadas es como vender un autom\u00f3vil y luego cobrar m\u00e1s por los cinturones de seguridad y las bolsas de aire”, dijo el senador estadounidense Ron Wyden. citado<\/a> como diciendo<\/p>\n El desarrollo se produce cuando el Comit\u00e9 de Inteligencia y Seguridad del Parlamento (ISC) del Reino Unido publicado<\/a> un informe detallado sobre China, que destaca su “capacidad de espionaje cibern\u00e9tico altamente efectiva” y su capacidad para penetrar en una amplia gama de sistemas de TI del gobierno y del sector privado extranjeros.<\/p>\n <\/p>\n![\"microsoft\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689410769_972_Error-de-Microsoft-permitio-a-los-piratas-informaticos-violar-mas.jpg\" "\\"microsoft\\"\/")
<\/div>\n