Lo que necesitas saber
- Microsoft ha estado bajo el escrutinio de un panel asesor de ciberseguridad luego de la violación de múltiples cuentas pertenecientes a funcionarios del gobierno de EE. UU.
- La compañía ahora ha revelado que el grupo de piratas informáticos Storm-0558 pudo acceder a estas cuentas a través de una clave de firma de un volcado de memoria de Windows.
- Microsoft afirma que la infracción se resolvió y solo afectó a Exchange Online y Outlook.
- Un investigador de seguridad respondió a las afirmaciones citando que la infracción era más generalizada y afectaba a las plataformas de Microsoft basadas en la nube, incluidas Outlook, SharePoint, OneDrive y Teams.
Hace un tiempo, un panel asesor de ciberseguridad estadounidense encargado por la administración del presidente Biden inició una investigación sobre Microsoft después de que un grupo de hackers chino conocido como Storm-0558 lograra violar cuentas de correo electrónico de Microsoft pertenecientes a dos docenas de agencias gubernamentales. El panel tiene como objetivo determinar la participación de Microsoft en el asunto, con especulaciones de que podría haber más en la historia y la compañía es poco transparente al respecto.
Si bien Microsoft pudo mitigar el problema, no proporcionó una descripción detallada que destaque cómo ocurrió el incidente y cómo los atacantes pudieron obtener acceso a las credenciales.
Según un nuevo informe de pitidocomputadoraMicrosoft ha indicado que Storm-0558 pudo acceder a las credenciales de los funcionarios robando una clave de firma de un volcado de Windows después de violar la cuenta corporativa de un ingeniero de Microsoft.
Los piratas informáticos utilizaron la clave para comprometer cuentas de Exchange Online y Azure Active Directory que pertenecen a varias organizaciones. Entre las partes afectadas por la infracción se encontraban agencias gubernamentales con sede en Estados Unidos, incluidos los Departamentos de Estado y de Comercio de Estados Unidos. Esto llamó la atención de varios, incluido el del senador Ron Wyden, quien escribió una carta el 27 de julio solicitando a la Junta de Revisión de Seguridad Cibernética que investigara el asunto.
Descubrimos que este volcado de memoria, que en ese momento se creía que no contenía material clave, se trasladó posteriormente de la red de producción aislada a nuestro entorno de depuración en la red corporativa conectada a Internet. Esto es consistente con nuestros procesos de depuración estándar. Nuestros métodos de escaneo de credenciales no detectaron su presencia (este problema se ha corregido).
microsoft
Microsoft detalló además que el grupo de hackers chino aprovechó un problema de validación de día cero en GetAccessTokenForResourceAPI que desde entonces ha sido mitigado para falsificar tokens de acceso firmados, permitiéndoles así hacerse pasar por las cuentas de los funcionarios.
La compañía también detalló que la clave MSA utilizada para violar las cuentas de los funcionarios data de abril de 2021, cuando se filtró en un volcado de emergencia después de que el sistema de firma de un consumidor fallara.
Debido a las políticas de retención de registros, no tenemos registros con evidencia específica de esta exfiltración por parte de este actor, pero este fue el mecanismo más probable por el cual el actor adquirió la clave.
La compañía añadió que si bien el volcado de memoria no debería haber incluido las claves de firma, una condición de carrera motivó su inclusión. En particular, el volcado de memoria pasó de la red de producción de la empresa a su entorno de depuración corporativo conectado a Internet. Sin embargo, Microsoft ha indicado que el problema ya se resolvió, citando que sus métodos de escaneo de credenciales no detectaron ninguna presencia de los atacantes.
Análisis: ¿Cuál fue la gravedad de la infracción?
Según Shir Tamari, investigador de seguridad de Wiz, la infracción de los piratas informáticos chinos se extendió más allá de Exchange Online y Outlook. El investigador indicó que la infracción proporcionó a los atacantes acceso a los servicios en la nube de Microsoft.
El acceso generalizado a estos servicios significa que los atacantes podrían aprovechar la clave para hacerse pasar por casi todas las plataformas de Microsoft basadas en la nube, incluidas Outlook, SharePoint, OneDrive y Teams. Sin olvidar las aplicaciones que admiten la autenticación de cuentas de Microsoft.
Sin embargo, Microsoft ha refutado las afirmaciones de que la clave sólo podría aprovecharse en aplicaciones que acepten cuentas personales. Esto, a su vez, llevó a la empresa a revocar todas las claves de firma MSA válidas para paralizar los esfuerzos de los atacantes por acceder a más claves comprometidas. Asimismo, esto también bloqueó la generación de nuevos tokens de acceso. Finalmente, la empresa trasladó tokens de acceso generados recientemente al almacén de claves utilizado en sus sistemas empresariales.
El CTO y cofundador de Wiz, Ami Luttwak, mientras habla con BleepingComputer compartió los siguientes sentimientos:
Todo en el mundo de Microsoft aprovecha los tokens de autenticación de Azure Active Directory para acceder. Un atacante con una clave de firma AAD es el atacante más poderoso que puedas imaginar, porque puede acceder a casi cualquier aplicación, como cualquier usuario. Esta es la superpotencia definitiva de la ciberinteligencia que cambia de forma.
Amit Yoran, director ejecutivo de Tenableha criticado a Microsoft en numerosas ocasiones, citando su falta de transparencia con respecto a las violaciones de seguridad y las prácticas de seguridad.