Um operador de ameaças com sede na China conseguiu acessar contas de e-mail da Microsoft baseadas em nuvem de aproximadamente 25 organizações — incluindo agências governamentais dos EUA, bem como contas de consumidores provavelmente associados a essas organizações — forjando tokens de autenticação para acessar o e-mail do usuário, advertiu a fabricante de software.
Não diz como, mas
O grupo, que a Microsoft chama de Storm-0558, adquiriu — ela não diz como — uma chave de assinatura do consumidor da conta da empresa (MSA). Então, por várias semanas a partir de 15 de maio, o Storm invadiu o Outlook Web Access (OWA) nas contas do Exchange Online e do Outlook.com.
A Microsoft disse em um relatório na terça-feira, 11, que, desde que foi notificada sobre atividades suspeitas em junho, bloqueou o Storm-0558 de acessar o e-mail do cliente usando tokens de autenticação forjados. A empresa contatou todas as organizações visadas ou comprometidas diretamente por meio de seus administradores de locatários e forneceu informações importantes para ajudá-las a investigar e responder. Se você ainda não foi contatado, sua organização não foi afetada.
O aviso da Microsoft veio no mesmo dia em que a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA emitiu um comunicado de segurança cibernética dizendo que atores não identificados de ameaças persistentes avançadas (APT) acessaram e exfiltraram dados não classificados do Exchange Online Outlook de uma agência executiva civil federal não identificada.
O relatório da CISA diz que um operador APT não identificado acessou e exfiltrou dados não classificados do Exchange Online Outlook de um pequeno número de contas usando uma chave de consumidor da conta da Microsoft (MSA). Ele foi usado para forjar tokens para representar usuários consumidores e corporativos, diz o relatório da CISA. A Microsoft corrigiu o problema bloqueando primeiro os tokens emitidos com a chave adquirida e, em seguida, substituindo a chave para evitar o uso indevido contínuo.
Veja isso
Apps no Google Play com 1,5 mi de usuários enviam dados à China
Hackers chineses tentam se infiltrar em ministérios europeus
A Microsoft disse em seu relatório que a quadrilha usou a chave MSA adquirida para forjar tokens para acessar OWA e Outlook.com. As chaves MSA (consumidor) e as chaves Azure AD (empresa) são emitidas e gerenciadas de sistemas separados e devem ser válidas apenas para seus respectivos sistemas. Mas a gangue conseguiu explorar um problema de validação de token para representar os usuários do Azure AD e acessar o correio corporativo.
“Não temos indicações de que as chaves do Azure AD ou quaisquer outras chaves MSA tenham sido usadas por esse operador”, disse a Microsoft. “OWA e Outlook.com são os únicos serviços onde observamos o ator usando tokens forjados com a chave MSA adquirida.”
A CISA e o FBI encorajam fortemente as organizações de infraestrutura crítica a habilitar o log de auditoria, que detectou esse evento. Os órgãos federais são obrigados a fazê-lo. Com agências de notícias e relatório da CISA.
