Microsoft revel\u00f3 el mi\u00e9rcoles que un actor de amenazas con sede en China conocido como Tormenta-0558<\/strong> adquiri\u00f3 la clave de firma del consumidor inactivo para falsificar tokens para acceder a Outlook comprometiendo la cuenta corporativa de un ingeniero.<\/p>\n Esto permiti\u00f3 al adversario acceder a un entorno de depuraci\u00f3n que conten\u00eda un volcado de memoria del sistema de firma del consumidor que tuvo lugar en abril de 2021 y robar la clave.<\/p>\n “Una falla del sistema de firma del consumidor en abril de 2021 result\u00f3 en una instant\u00e1nea del proceso fallado (‘volcado de falla’)”, el Centro de respuesta de seguridad de Microsoft (MSRC) dicho<\/a> en un informe post mortem.<\/p>\n “Los volcados de emergencia, que redactan informaci\u00f3n confidencial, no deben incluir la clave de firma. En este caso, una condici\u00f3n de carrera permiti\u00f3 que la clave estuviera presente en el volcado de emergencia. Nuestros sistemas no detectaron la presencia del material clave en el volcado de emergencia. “<\/p>\n El fabricante de Windows dijo que el volcado de memoria se traslad\u00f3 a un entorno de depuraci\u00f3n en la red corporativa conectada a Internet, desde donde se sospecha que Storm-0558 adquiri\u00f3 la clave despu\u00e9s de infiltrarse en la cuenta corporativa del ingeniero.<\/p>\n Actualmente no se sabe si este es el mecanismo exacto que adopt\u00f3 el actor de amenazas, ya que Microsoft se\u00f1al\u00f3 que no tiene registros que ofrezcan pruebas concretas de la exfiltraci\u00f3n debido a sus pol\u00edticas de retenci\u00f3n de registros.<\/p>\n El informe de Microsoft alude adem\u00e1s al phishing y la implementaci\u00f3n de malware para robar tokens, pero no detalla el modus operandi de c\u00f3mo se viol\u00f3 la cuenta del ingeniero en primer lugar, si otras cuentas corporativas fueron pirateadas y cu\u00e1ndo se dio cuenta. del compromiso.<\/p>\n Dicho esto, el \u00faltimo desarrollo ofrece informaci\u00f3n sobre una serie de contratiempos de seguridad en cascada que culminaron en que la clave de firma terminara en manos de un actor calificado con un “alto grado de habilidad t\u00e9cnica y seguridad operativa”.<\/p>\n Storm-0558 es el apodo asignado por Microsoft a un grupo de piratas inform\u00e1ticos que se ha relacionado con la infracci\u00f3n de aproximadamente 25 organizaciones utilizando la clave de firma del consumidor y obteniendo acceso no autorizado a Outlook Web Access (OWA) y Outlook.com.<\/p>\n El problema del d\u00eda cero se atribuy\u00f3 a un error de validaci\u00f3n que permit\u00eda confiar en la clave para firmar tokens de Azure AD. La evidencia muestra que la actividad cibern\u00e9tica maliciosa comenz\u00f3 un mes antes de ser detectada en junio de 2023.<\/p>\n Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n <\/a><\/p>\n \u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n