{"id":803774,"date":"2023-09-08T09:15:27","date_gmt":"2023-09-08T09:15:27","guid":{"rendered":"https:\/\/magazineoffice.com\/microsoft-explica-que-los-piratas-informaticos-chinos-aprovecharon-una-clave-de-firma-robada-de-un-volcado-de-windows-para-comprometer-cuentas-del-gobierno-de-ee-uu\/"},"modified":"2023-09-08T09:15:32","modified_gmt":"2023-09-08T09:15:32","slug":"microsoft-explica-que-los-piratas-informaticos-chinos-aprovecharon-una-clave-de-firma-robada-de-un-volcado-de-windows-para-comprometer-cuentas-del-gobierno-de-ee-uu","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/microsoft-explica-que-los-piratas-informaticos-chinos-aprovecharon-una-clave-de-firma-robada-de-un-volcado-de-windows-para-comprometer-cuentas-del-gobierno-de-ee-uu\/","title":{"rendered":"Microsoft explica que los piratas inform\u00e1ticos chinos aprovecharon una clave de firma robada de un volcado de Windows para comprometer cuentas del gobierno de EE. UU."},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<h2 id=\"what-you-need-to-know-3\">Lo que necesitas saber<\/h2>\n<ul>\n<li>Microsoft ha estado bajo el escrutinio de un panel asesor de ciberseguridad luego de la violaci\u00f3n de m\u00faltiples cuentas pertenecientes a funcionarios del gobierno de EE. UU. <\/li>\n<li>La compa\u00f1\u00eda ahora ha revelado que el grupo de piratas inform\u00e1ticos Storm-0558 pudo acceder a estas cuentas a trav\u00e9s de una clave de firma de un volcado de memoria de Windows. <\/li>\n<li>Microsoft afirma que la infracci\u00f3n se resolvi\u00f3 y solo afect\u00f3 a Exchange Online y Outlook. <\/li>\n<li>Un investigador de seguridad respondi\u00f3 a las afirmaciones citando que la infracci\u00f3n era m\u00e1s generalizada y afectaba a las plataformas de Microsoft basadas en la nube, incluidas Outlook, SharePoint, OneDrive y Teams.  <\/li>\n<\/ul>\n<hr\/>\n<p>Hace un tiempo, un panel asesor de ciberseguridad estadounidense encargado por la administraci\u00f3n del presidente Biden inici\u00f3 una investigaci\u00f3n sobre Microsoft despu\u00e9s de que un grupo de hackers chino conocido como Storm-0558 lograra <a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/www.windowscentral.com\/microsoft\/microsoft-is-under-scrutiny-after-a-recent-attack-by-chinese-hackers\">violar cuentas de correo electr\u00f3nico de Microsoft pertenecientes a dos docenas de agencias gubernamentales<\/a>.  El panel tiene como objetivo determinar la participaci\u00f3n de Microsoft en el asunto, con especulaciones de que podr\u00eda haber m\u00e1s en la historia y la compa\u00f1\u00eda es poco transparente al respecto.  <\/p>\n<p>Si bien Microsoft pudo mitigar el problema, no proporcion\u00f3 una descripci\u00f3n detallada que destaque c\u00f3mo ocurri\u00f3 el incidente y c\u00f3mo los atacantes pudieron obtener acceso a las credenciales. <\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Seg\u00fan un nuevo informe de <a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/hackers-stole-microsoft-signing-key-from-windows-crash-dump\/\" data-url=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/hackers-stole-microsoft-signing-key-from-windows-crash-dump\/\">pitidocomputadora<\/a>Microsoft ha indicado que Storm-0558 pudo acceder a las credenciales de los funcionarios robando una clave de firma de un volcado de Windows despu\u00e9s de violar la cuenta corporativa de un ingeniero de Microsoft.  <\/p>\n<p>Los piratas inform\u00e1ticos utilizaron la clave para comprometer cuentas de Exchange Online y Azure Active Directory que pertenecen a varias organizaciones.  Entre las partes afectadas por la infracci\u00f3n se encontraban agencias gubernamentales con sede en Estados Unidos, incluidos los Departamentos de Estado y de Comercio de Estados Unidos.  Esto llam\u00f3 la atenci\u00f3n de varios, incluido el del senador Ron Wyden, quien escribi\u00f3 una carta el 27 de julio solicitando a la Junta de Revisi\u00f3n de Seguridad Cibern\u00e9tica que investigara el asunto.  <\/p>\n<figure>\n<blockquote>\n<p>Descubrimos que este volcado de memoria, que en ese momento se cre\u00eda que no conten\u00eda material clave, se traslad\u00f3 posteriormente de la red de producci\u00f3n aislada a nuestro entorno de depuraci\u00f3n en la red corporativa conectada a Internet.  Esto es consistente con nuestros procesos de depuraci\u00f3n est\u00e1ndar.  Nuestros m\u00e9todos de escaneo de credenciales no detectaron su presencia (este problema se ha corregido). <\/p><figcaption><cite>microsoft<\/cite><\/figcaption><\/blockquote>\n<\/figure>\n<p>Microsoft detall\u00f3 adem\u00e1s que el grupo de hackers chino aprovech\u00f3 un problema de validaci\u00f3n de d\u00eda cero en GetAccessTokenForResourceAPI que desde entonces ha sido mitigado para falsificar tokens de acceso firmados, permiti\u00e9ndoles as\u00ed hacerse pasar por las cuentas de los funcionarios.  <\/p>\n<p>La compa\u00f1\u00eda tambi\u00e9n detall\u00f3 que la clave MSA utilizada para violar las cuentas de los funcionarios data de abril de 2021, cuando se filtr\u00f3 en un volcado de emergencia despu\u00e9s de que el sistema de firma de un consumidor fallara.<\/p>\n<p><a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/go.redirectingat.com\/?id=23432X820454&#038;xcust=wp_us_8490141239274309000&#038;xs=1&#038;url=https%3A%2F%2Fmsrc.microsoft.com%2Fblog%2F2023%2F09%2Fresults-of-major-technical-investigations-for-storm-0558-key-acquisition%2F&#038;sref=https%3A%2F%2Fwww.windowscentral.com%2Fmicrosoft%2Fmicrosoft-explains-that-chinese-hackers-leveraged-a-stolen-signing-key-from-a-windows-crash-dump-to-compromise-us-government-accounts\" data-url=\"https:\/\/msrc.microsoft.com\/blog\/2023\/09\/results-of-major-technical-investigations-for-storm-0558-key-acquisition\/\" data-hl-processed=\"skimlinks\" data-placeholder-url=\"https:\/\/go.redirectingat.com\/?id=23432X820454&#038;xcust=hawk-custom-tracking&#038;xs=1&#038;url=https%3A%2F%2Fmsrc.microsoft.com%2Fblog%2F2023%2F09%2Fresults-of-major-technical-investigations-for-storm-0558-key-acquisition%2F&#038;sref=https%3A%2F%2Fwww.windowscentral.com%2Fmicrosoft%2Fmicrosoft-explains-that-chinese-hackers-leveraged-a-stolen-signing-key-from-a-windows-crash-dump-to-compromise-us-government-accounts\" referrerpolicy=\"no-referrer-when-downgrade\" data-google-interstitial=\"false\" data-merchant-name=\"SkimLinks - microsoft.com\" data-merchant-id=\"undefined\" data-merchant-url=\"undefined\" data-merchant-network=\"undefined\">Seg\u00fan Microsoft<\/a>:<\/p>\n<p><em>Debido a las pol\u00edticas de retenci\u00f3n de registros, no tenemos registros con evidencia espec\u00edfica de esta exfiltraci\u00f3n por parte de este actor, pero este fue el mecanismo m\u00e1s probable por el cual el actor adquiri\u00f3 la clave. <\/em><\/p>\n<p>La compa\u00f1\u00eda a\u00f1adi\u00f3 que si bien el volcado de memoria no deber\u00eda haber incluido las claves de firma, una condici\u00f3n de carrera motiv\u00f3 su inclusi\u00f3n.  En particular, el volcado de memoria pas\u00f3 de la red de producci\u00f3n de la empresa a su entorno de depuraci\u00f3n corporativo conectado a Internet.  Sin embargo, Microsoft ha indicado que el problema ya se resolvi\u00f3, citando que sus m\u00e9todos de escaneo de credenciales no detectaron ninguna presencia de los atacantes.  <\/p>\n<h2 id=\"analysis-what-was-the-breach-apos-s-severity-xa0-3\">An\u00e1lisis: \u00bfCu\u00e1l fue la gravedad de la infracci\u00f3n? <\/h2>\n<figure class=\"van-image-figure inline-layout\" data-bordeaux-image-check=\"\">\n<div class=\"image-full-width-wrapper\">\n<div class=\"image-widthsetter\" style=\"max-width:1970px;\">\n<p class=\"vanilla-image-block\" style=\"padding-top:56.24%;\"><picture><source type=\"image\/webp\" alt=\"Microsoft Outlook on Android\" class=\" lazy-image-van\" onerror=\"if(this.src &#038;&#038; this.src.indexOf('missing-image.svg') !== -1){return true;};this.parentNode.replaceChild(window.missingImage(),this)\" data-normal=\"https:\/\/vanilla.futurecdn.net\/windowscentral\/media\/img\/missing-image.svg\" data-srcset=\"https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-320-80.jpg.webp 320w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-480-80.jpg.webp 480w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-650-80.jpg.webp 650w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-970-80.jpg.webp 970w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-1024-80.jpg.webp 1024w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-1200-80.jpg.webp 1200w\" data-sizes=\"(min-width: 1000px) 970px, calc(100vw - 40px)\" data-original-mos=\"https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i.jpg\" data-pin-media=\"https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i.jpg\"\/><source type=\"image\/jpeg\" alt=\"Microsoft Outlook on Android\" class=\" lazy-image-van\" onerror=\"if(this.src &#038;&#038; this.src.indexOf('missing-image.svg') !== -1){return true;};this.parentNode.replaceChild(window.missingImage(),this)\" data-normal=\"https:\/\/vanilla.futurecdn.net\/windowscentral\/media\/img\/missing-image.svg\" data-srcset=\"https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-320-80.jpg 320w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-480-80.jpg 480w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-650-80.jpg 650w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-970-80.jpg 970w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-1024-80.jpg 1024w, https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i-1200-80.jpg 1200w\" data-sizes=\"(min-width: 1000px) 970px, calc(100vw - 40px)\" data-original-mos=\"https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i.jpg\" data-pin-media=\"https:\/\/cdn.mos.cms.futurecdn.net\/iQBnyQqftfXsUV3qzVoC3i.jpg\"\/><\/picture><\/p>\n<\/div>\n<\/div><figcaption itemprop=\"caption description\" class=\" inline-layout\"><span class=\"credit\" itemprop=\"copyrightHolder\">(Cr\u00e9dito de la imagen: futuro)<\/span><\/figcaption><\/figure>\n<p>Seg\u00fan Shir Tamari, investigador de seguridad de Wiz, la infracci\u00f3n de los piratas inform\u00e1ticos chinos se extendi\u00f3 m\u00e1s all\u00e1 de Exchange Online y Outlook.  El investigador indic\u00f3 que la infracci\u00f3n proporcion\u00f3 a los atacantes acceso a los servicios en la nube de Microsoft. <\/p>\n<p>El acceso generalizado a estos servicios significa que los atacantes podr\u00edan aprovechar la clave para hacerse pasar por casi todas las plataformas de Microsoft basadas en la nube, incluidas Outlook, SharePoint, OneDrive y Teams.  Sin olvidar las aplicaciones que admiten la autenticaci\u00f3n de cuentas de Microsoft. <\/p>\n<p>Sin embargo, Microsoft ha refutado las afirmaciones de que la clave s\u00f3lo podr\u00eda aprovecharse en aplicaciones que acepten cuentas personales.  Esto, a su vez, llev\u00f3 a la empresa a revocar todas las claves de firma MSA v\u00e1lidas para paralizar los esfuerzos de los atacantes por acceder a m\u00e1s claves comprometidas.  Asimismo, esto tambi\u00e9n bloque\u00f3 la generaci\u00f3n de nuevos tokens de acceso.  Finalmente, la empresa traslad\u00f3 tokens de acceso generados recientemente al almac\u00e9n de claves utilizado en sus sistemas empresariales. <\/p>\n<p>El CTO y cofundador de Wiz, Ami Luttwak, <a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/hackers-stole-microsoft-signing-key-from-windows-crash-dump\/\" data-url=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/hackers-stole-microsoft-signing-key-from-windows-crash-dump\/\">mientras habla con BleepingComputer<\/a> comparti\u00f3 los siguientes sentimientos: <\/p>\n<p><em>Todo en el mundo de Microsoft aprovecha los tokens de autenticaci\u00f3n de Azure Active Directory para acceder.  Un atacante con una clave de firma AAD es el atacante m\u00e1s poderoso que puedas imaginar, porque puede acceder a casi cualquier aplicaci\u00f3n, como cualquier usuario.  Esta es la superpotencia definitiva de la ciberinteligencia que cambia de forma. <\/em><\/p>\n<p><a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/www.linkedin.com\/pulse\/microsoftthe-truth-even-worse-than-you-think-amit-yoran%3FtrackingId=dc6F%252FbO8RBeTcEVzTRwHtA%253D%253D\/?trackingId=dc6F%2FbO8RBeTcEVzTRwHtA%3D%3D\" data-url=\"https:\/\/www.linkedin.com\/pulse\/microsoftthe-truth-even-worse-than-you-think-amit-yoran%3FtrackingId=dc6F%252FbO8RBeTcEVzTRwHtA%253D%253D\/?trackingId=dc6F%2FbO8RBeTcEVzTRwHtA%3D%3D\">Amit Yoran, director ejecutivo de Tenable<\/a>ha criticado a Microsoft en numerosas ocasiones, citando su falta de transparencia con respecto a las violaciones de seguridad y las pr\u00e1cticas de seguridad.   <\/p>\n<\/div>\n<p><script>\nwindow.reliableConsentGiven.then(function(){\n!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function()\n{n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}\n;if(!f._fbq)f._fbq=n;\nn.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0;\nt.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window,\ndocument,'script','https:\/\/connect.facebook.net\/en_US\/fbevents.js');\nfbq('init', '1765793593738454');\nfbq('track', 'PageView');\n})\n<\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/www.windowscentral.com\/microsoft\/microsoft-explains-that-chinese-hackers-leveraged-a-stolen-signing-key-from-a-windows-crash-dump-to-compromise-us-government-accounts\" target=\"_blank\" rel=\"noopener\">Source link-40 <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Lo que necesitas saber Microsoft ha estado bajo el escrutinio de un panel asesor de ciberseguridad luego de la violaci\u00f3n de m\u00faltiples cuentas pertenecientes a funcionarios del gobierno de EE.&hellip;<\/p>\n","protected":false},"author":1,"featured_media":803775,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[77455,18968,5046,33432,1264,194,2727,2234,5471,9844,8,683,107,9151,14603,73,3912,5104],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/803774"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=803774"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/803774\/revisions"}],"predecessor-version":[{"id":803776,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/803774\/revisions\/803776"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/803775"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=803774"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=803774"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=803774"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}