La clave de cifrado privada de Microsoft robada por los hackers chinos de Storm-0558 les proporcionó acceso mucho más allá de las cuentas de Exchange Online y Outlook.com que Redmond afirmó que fueron comprometidas, según los investigadores de seguridad de Wiz.
Redmond reveló el 12 de julio que los atacantes habían vulnerado las cuentas de Exchange Online y Azure Active Directory (AD) de alrededor de dos docenas de organizaciones. Esto se logró explotando un problema de validación de día cero, ya parchado, en la API GetAccessTokenForResource, lo que les permitió falsificar tokens de acceso firmados e impersonar cuentas dentro de las organizaciones objetivo.
Las entidades afectadas incluyen agencias gubernamentales en los Estados Unidos y en regiones de Europa occidental, y entre ellas se encontraban los Departamentos de Estado y de Comercio de los Estados Unidos.
El viernes, la investigadora de seguridad de Wiz, Shir Tamari, dijo que el impacto se extendía a todas las aplicaciones de Azure AD que operan con el OpenID v2.0 de Microsoft. Esto se debió a la capacidad de la clave robada para firmar cualquier token de acceso OpenID v2.0 para cuentas personales (por ejemplo, Xbox, Skype) y aplicaciones de AAD multiinquilino.
Mientras Microsoft afirmó que solo Exchange Online y Outlook se vieron afectados, Wiz dice que los actores de amenazas podrían usar la clave privada de Azure AD comprometida para suplantar cualquier cuenta dentro de cualquier cliente afectado o aplicación de Microsoft basada en la nube.
«Esto incluye aplicaciones administradas de Microsoft, como Outlook, SharePoint, OneDrive y Teams, así como las aplicaciones de los clientes que admiten la autenticación de Cuenta Microsoft, incluidas aquellas que permiten la funcionalidad ‘Iniciar sesión con Microsoft'», dijo Tamari.
«Todo en el mundo de Microsoft utiliza tokens de autenticación de Azure Active Directory para el acceso», también dijo el CTO y cofundador de Wiz, Ami Luttwak, a BleepingComputer.
«Un atacante con una clave de firma de AAD es el atacante más poderoso que puedas imaginar, porque pueden acceder a casi cualquier aplicación, como cualquier usuario. Esta es la máxima superpotencia de ‘cambio de forma’ de ciberinteligencia».
En respuesta al incidente de seguridad, Microsoft revocó todas las claves de firma válidas de MSA (Microsoft Account) para asegurarse de que los actores de amenazas no tuvieran acceso a otras claves comprometidas.
Esta medida también impidió cualquier intento de generar nuevos tokens de acceso. Además, Microsoft trasladó los tokens de acceso recién generados al almacén de claves para los sistemas empresariales de la compañía.
Después de invalidar la clave de firma de empresa robada, Microsoft no encontró evidencia adicional que sugiriera acceso no autorizado a las cuentas de sus clientes utilizando la misma técnica de falsificación de token de autenticación.
Además, Microsoft informó que observó un cambio en las tácticas de Storm-0558, lo que indica que los actores de amenazas ya no tenían acceso a ninguna clave de firma.
Por último, la compañía reveló el viernes pasado que todavía desconoce cómo los hackers chinos robaron la clave de firma de Azure AD. Sin embargo, después de la presión de CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.), accedieron a ampliar el acceso gratuito a los datos de registro de la nube para ayudar a los defensores a detectar intentos de brechas similares en el futuro.
Antes de esto, estas capacidades de registro solo estaban disponibles para los clientes de Microsoft que pagaban la licencia de registro de Purview Audit (Premium). Como resultado, Microsoft enfrentó críticas considerables por obstaculizar que las organizaciones detecten de manera oportuna los ataques de Storm-0558.»En esta etapa, es difícil determinar la extensión completa del incidente, ya que había millones de aplicaciones que podrían haber estado potencialmente vulnerables, tanto aplicaciones de Microsoft como de clientes, y la mayoría de ellas carecen de los registros suficientes para determinar si fueron comprometidas o no», concluyó Tamari hoy.
Fuente: Sergiu Gatlan
