Microsoft trabaja para ofuscar el rol en 0 días que causó la filtración de correo electrónico
Microsoft trabaja para ofuscar el rol en 0 días que causó la filtración de correo electrónico
Expandir
Imágenes Getty | aurich lawson
El viernes, Microsoft intentó explicar la causa de una brecha que permitió a los piratas informáticos que trabajaban para el gobierno chino acceder a las cuentas de correo electrónico de 25 organizaciones, incluidos los departamentos de estado y Comercio de los Estados Unidos y otras organizaciones sensibles.
En un artículo publicado el viernes, la compañía dijo que el compromiso se debió a tres vulnerabilidades explotadas en su servicio de correo Exchange Online o en Azure Active Directory, un servicio de identidad que maneja autenticación de factor único y multifactor para grandes organizaciones. El equipo de Threat Intelligence de Microsoft dijo que Storm-0558, un equipo de piratería con sede en China que espía en nombre del gobierno de ese país, los explotó a partir del 15 de mayo. Microsoft ahuyentó a los atacantes el 16 de junio después de que un cliente notificara a los investigadores de la empresa sobre la infracción.
Sobre todo: evita la palabra Z
En el lenguaje común de los profesionales de la seguridad, esto significa que Storm-0558 explotó los días cero en los servicios en la nube de Microsoft. Un "día cero" es una vulnerabilidad conocida o explotada por terceros antes de que el proveedor tenga una solución. "Explotar" significa usar código u otros medios para desencadenar una vulnerabilidad de una manera que cause daño al proveedor o a otros.
Si bien ambas condiciones se cumplen claramente en la intrusión Storm-0558, el mensaje del viernes y otros dos publicados por Microsoft el martes, hacen todo lo posible para evitar las palabras "vulnerabilidad" o "día cero". En su lugar, la empresa utiliza términos mucho más amorfos como "problema", "error" y "falla" cuando trata de explicar cómo los piratas informáticos del estado-nación rastrearon las cuentas de correo electrónico de algunos de los clientes más importantes de la empresa.
"El análisis en profundidad de la actividad de Exchange Online reveló que, de hecho, el actor estaba falsificando tokens de Azure AD utilizando una clave de firma de cliente adquirida para una cuenta de Microsoft (MSA)", escribieron los investigadores de Microsoft el viernes. "Esto fue posible gracias a un error de validación en el código de Microsoft".
Más adelante en el artículo, los investigadores dijeron que Storm-0558 adquirió una clave de firma inactiva utilizada para las cuentas en la nube de los consumidores y logró usarla para falsificar tokens para Azure AD, un servicio en la nube llamado fortificado que, de hecho, almacena la claves que utilizan miles de organizaciones para administrar los inicios de sesión de cuentas en sus redes internas y basadas en la nube.
"El método por el cual el actor adquirió la clave está bajo investigación en curso", se lee en la publicación. "Aunque la clave solo está destinada a cuentas MSA, un problema de validación permitió que esta clave fuera confiable para firmar tokens de Azure AD".
Dos párrafos más adelante, Microsoft dijo que Storm-0558 usó el token falsificado para acceder a las cuentas de correo electrónico de Exchange a través de una interfaz de programación para Outlook Web Access (OWA). Los investigadores escribieron:
Una vez autenticado a través de un flujo de cliente legítimo usando el token falsificado, el actor de amenazas accedió a la API de OWA para recuperar un token para Exchange Online de la API GetAccessTokenForResource utilizada por OWA. El actor pudo obtener nuevos tokens de acceso presentando uno previamente de esta API debido a una falla de diseño. Esta falla en GetAccessTokenForResourceAPI se corrigió desde entonces para aceptar solo tokens emitidos por Azure AD o MSA, respectivamente. El actor usó estos tokens para recuperar mensajes de correo electrónico de la API de OWA.
Un resumen simple del evento parecería ser: Microsoft corrigió tres vulnerabilidades en su servicio en la nube que se descubrieron después de que Storm-0558 las explotara para obtener acceso a las cuentas de los clientes. También ayudaría si Microsoft proporcionara una designación de seguimiento como parte del sistema de vulnerabilidades y exposiciones comunes (CVE) como lo hacen otras compañías en la nube. Entonces, ¿por qué Microsoft no está haciendo lo mismo?
"No creo que Microsoft reconozca nunca las vulnerabilidades en sus servicios en la nube (tampoco existe CVE en la nube), y no se trata de una brecha en Microsoft", investigador independiente Kevin Beaumont
El viernes, Microsoft intentó explicar la causa de una brecha que permitió a los piratas informáticos que trabajaban para el gobierno chino acceder a las cuentas de correo electrónico de 25 organizaciones, incluidos los departamentos de estado y Comercio de los Estados Unidos y otras organizaciones sensibles.
En un artículo publicado el viernes, la compañía dijo que el compromiso se debió a tres vulnerabilidades explotadas en su servicio de correo Exchange Online o en Azure Active Directory, un servicio de identidad que maneja autenticación de factor único y multifactor para grandes organizaciones. El equipo de Threat Intelligence de Microsoft dijo que Storm-0558, un equipo de piratería con sede en China que espía en nombre del gobierno de ese país, los explotó a partir del 15 de mayo. Microsoft ahuyentó a los atacantes el 16 de junio después de que un cliente notificara a los investigadores de la empresa sobre la infracción.
Sobre todo: evita la palabra Z
En el lenguaje común de los profesionales de la seguridad, esto significa que Storm-0558 explotó los días cero en los servicios en la nube de Microsoft. Un "día cero" es una vulnerabilidad conocida o explotada por terceros antes de que el proveedor tenga una solución. "Explotar" significa usar código u otros medios para desencadenar una vulnerabilidad de una manera que cause daño al proveedor o a otros.
Si bien ambas condiciones se cumplen claramente en la intrusión Storm-0558, el mensaje del viernes y otros dos publicados por Microsoft el martes, hacen todo lo posible para evitar las palabras "vulnerabilidad" o "día cero". En su lugar, la empresa utiliza términos mucho más amorfos como "problema", "error" y "falla" cuando trata de explicar cómo los piratas informáticos del estado-nación rastrearon las cuentas de correo electrónico de algunos de los clientes más importantes de la empresa.
"El análisis en profundidad de la actividad de Exchange Online reveló que, de hecho, el actor estaba falsificando tokens de Azure AD utilizando una clave de firma de cliente adquirida para una cuenta de Microsoft (MSA)", escribieron los investigadores de Microsoft el viernes. "Esto fue posible gracias a un error de validación en el código de Microsoft".
Más adelante en el artículo, los investigadores dijeron que Storm-0558 adquirió una clave de firma inactiva utilizada para las cuentas en la nube de los consumidores y logró usarla para falsificar tokens para Azure AD, un servicio en la nube llamado fortificado que, de hecho, almacena la claves que utilizan miles de organizaciones para administrar los inicios de sesión de cuentas en sus redes internas y basadas en la nube.
"El método por el cual el actor adquirió la clave está bajo investigación en curso", se lee en la publicación. "Aunque la clave solo está destinada a cuentas MSA, un problema de validación permitió que esta clave fuera confiable para firmar tokens de Azure AD".
Dos párrafos más adelante, Microsoft dijo que Storm-0558 usó el token falsificado para acceder a las cuentas de correo electrónico de Exchange a través de una interfaz de programación para Outlook Web Access (OWA). Los investigadores escribieron:
Una vez autenticado a través de un flujo de cliente legítimo usando el token falsificado, el actor de amenazas accedió a la API de OWA para recuperar un token para Exchange Online de la API GetAccessTokenForResource utilizada por OWA. El actor pudo obtener nuevos tokens de acceso presentando uno previamente de esta API debido a una falla de diseño. Esta falla en GetAccessTokenForResourceAPI se corrigió desde entonces para aceptar solo tokens emitidos por Azure AD o MSA, respectivamente. El actor usó estos tokens para recuperar mensajes de correo electrónico de la API de OWA.
Un resumen simple del evento parecería ser: Microsoft corrigió tres vulnerabilidades en su servicio en la nube que se descubrieron después de que Storm-0558 las explotara para obtener acceso a las cuentas de los clientes. También ayudaría si Microsoft proporcionara una designación de seguimiento como parte del sistema de vulnerabilidades y exposiciones comunes (CVE) como lo hacen otras compañías en la nube. Entonces, ¿por qué Microsoft no está haciendo lo mismo?
"No creo que Microsoft reconozca nunca las vulnerabilidades en sus servicios en la nube (tampoco existe CVE en la nube), y no se trata de una brecha en Microsoft", investigador independiente Kevin Beaumont
Expandir
Imágenes Getty | aurich lawson
