Microsoft a révélé mercredi qu’un acteur malveillant basé en Chine, connu sous le nom de Tempête-0558 a acquis la clé de signature inactive du consommateur pour forger des jetons pour accéder à Outlook en compromettant le compte d’entreprise d’un ingénieur.
Cela a permis à l’adversaire d’accéder à un environnement de débogage contenant un vidage sur incident du système de signature du consommateur qui a eu lieu en avril 2021 et de voler la clé.
« Un crash du système de signature des consommateurs en avril 2021 a entraîné un instantané du processus en panne (« crash dump ») », le Microsoft Security Response Center (MSRC) dit dans un rapport post-mortem.
« Les vidages sur incident, qui suppriment les informations sensibles, ne doivent pas inclure la clé de signature. Dans ce cas, une condition de concurrence critique a permis à la clé d’être présente dans le vidage sur incident. La présence des éléments de clé dans le vidage sur incident n’a pas été détectée par nos systèmes. «
Le fabricant de Windows a déclaré que le vidage sur incident avait été déplacé vers un environnement de débogage sur le réseau d’entreprise connecté à Internet, d’où Storm-0558 est soupçonné d’avoir acquis la clé après avoir infiltré le compte d’entreprise de l’ingénieur.
On ne sait pas actuellement s’il s’agit du mécanisme exact qui a été adopté par l’acteur malveillant puisque Microsoft a indiqué qu’il ne disposait pas de journaux offrant une preuve concrète de l’exfiltration en raison de ses politiques de conservation des journaux.
Le rapport de Microsoft fait également allusion au spear phishing et au déploiement de logiciels malveillants voleurs de jetons, mais il n’explique pas comment le compte de l’ingénieur a été piraté en premier lieu, si d’autres comptes d’entreprise ont été piratés et quand il en a pris connaissance. du compromis.
Cela dit, le dernier développement offre un aperçu d’une série d’incidents de sécurité en cascade qui ont abouti à ce que la clé de signature se retrouve entre les mains d’un acteur qualifié doté d’un « haut degré de savoir-faire technique et de sécurité opérationnelle ».
Storm-0558 est le surnom attribué par Microsoft à un groupe de piratage informatique lié à la violation d’environ 25 organisations utilisant la clé de signature du consommateur et obtenant un accès non autorisé à Outlook Web Access (OWA) et Outlook.com.
Le problème du jour zéro était imputé à une erreur de validation qui permettait de faire confiance à la clé pour signer les jetons Azure AD. Les preuves montrent que la cyberactivité malveillante a commencé un mois plus tôt avant d’être détectée en juin 2023.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Ceci, à son tour, a été rendu possible parce que « le système de messagerie accepterait une demande de courrier électronique d’entreprise à l’aide d’un jeton de sécurité signé avec la clé du consommateur ». Le « problème » a depuis été corrigé par Microsoft.
La société de sécurité cloud Wiz a ensuite révélé en juillet que la clé de signature du consommateur Microsoft compromise aurait pu permettre un accès généralisé à d’autres services cloud.
Microsoft a toutefois déclaré n’avoir trouvé aucune preuve supplémentaire d’accès non autorisé à des applications en dehors des boîtes de réception de courrier électronique. Il a également étendu l’accès aux journaux de sécurité suite aux critiques selon lesquelles la fonctionnalité était limitée aux clients disposant de licences Purview Audit (Premium), limitant ainsi les données médico-légales à d’autres.