Microsoft affirme que des pirates chinois Storm-0558 ont volé une clé de signature utilisée pour pirater les comptes de messagerie du gouvernement à partir d’un crash Windows après avoir compromis le compte d’entreprise d’un ingénieur Microsoft.
Les attaquants ont utilisé la clé MSA volée pour pirater les comptes Exchange Online et Azure Active Directory (AD) d’environ deux douzaines d’organisations, y compris des agences gouvernementales aux États-Unis, telles que le département d’État et le département du Commerce des États-Unis.
Ils ont exploité un problème de validation Zero Day désormais corrigé dans GetAccessTokenForResourceAPI, ce qui leur a permis de forger des jetons d’accès signés et d’usurper l’identité de comptes au sein des organisations ciblées.
Plongée dans le vidage sur incident de Windows
En enquêtant sur l’attaque de Storm-0558, Microsoft a découvert que la clé MSA avait été divulguée dans un vidage sur incident après le crash d’un système de signature grand public en avril 2021.
Même si le vidage sur incident n’aurait pas dû inclure les clés de signature, une condition de concurrence critique a conduit à l’ajout de la clé. Ce vidage sur incident a ensuite été déplacé du réseau de production isolé de l’entreprise vers son environnement de débogage d’entreprise connecté à Internet.
Les acteurs malveillants ont trouvé la clé après avoir réussi à compromettre le compte d’entreprise d’un ingénieur Microsoft, qui avait accès à l’environnement de débogage contenant la clé incluse par erreur dans le vidage sur incident d’avril 2021.
« En raison des politiques de conservation des journaux, nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel l’acteur a acquis la clé », a révélé aujourd’hui Microsoft.
« Nos méthodes d’analyse des informations d’identification n’ont pas détecté sa présence (ce problème a été corrigé). »
Accès généralisé aux services cloud Microsoft
Alors que Microsoft a déclaré lors de la révélation de l’incident en juillet que seuls Exchange Online et Outlook étaient concernés, le chercheur en sécurité de Wiz, Shir Tamari, a déclaré plus tard que la clé de signature du consommateur Microsoft compromise permettait à Storm-0558 d’accéder largement aux services cloud de Microsoft.
Comme Tamari l’a dit, la clé pourrait être utilisée pour usurper l’identité de n’importe quel compte au sein de n’importe quel client concerné ou application Microsoft basée sur le cloud.
« Cela inclut les applications Microsoft gérées, telles qu’Outlook, SharePoint, OneDrive et Teams, ainsi que les applications des clients qui prennent en charge l’authentification des comptes Microsoft, y compris celles qui autorisent la fonctionnalité « Connexion avec Microsoft » », a déclaré Tamari.
« Tout dans le monde de Microsoft exploite les jetons d’authentification Azure Active Directory pour l’accès », a également déclaré Ami Luttwak, CTO et cofondateur de Wiz, à Breachtrace.
« Un attaquant doté d’une clé de signature AAD est l’attaquant le plus puissant que vous puissiez imaginer, car il peut accéder à presque toutes les applications, comme n’importe quel utilisateur. Il s’agit du super pouvoir ultime de métamorphose de la cyberintelligence. »
« Le certificat de l’ancienne clé publique a révélé qu’elle avait été émise le 5 avril 2016 et qu’elle avait expiré le 4 avril 2021 », a ajouté Tamari.
Redmond a déclaré plus tard à Breachtrace que la clé compromise ne pouvait être utilisée que pour cibler les applications qui acceptaient les comptes personnels et dont l’erreur de validation était exploitée par les pirates chinois.
En réponse à la faille de sécurité, Microsoft a révoqué toutes les clés de signature MSA valides pour empêcher les acteurs malveillants d’accéder à d’autres clés compromises. Cette étape a également bloqué efficacement tout effort supplémentaire visant à générer de nouveaux jetons d’accès. De plus, Microsoft a déplacé les jetons d’accès récemment générés vers le magasin de clés utilisé par ses systèmes d’entreprise.
Après avoir révoqué la clé de signature volée, Microsoft n’a trouvé aucune preuve supplémentaire d’un accès non autorisé aux comptes clients utilisant la même technique de falsification de jeton d’authentification.
Sous la pression de la CISA, Microsoft a également accepté d’étendre gratuitement l’accès aux données de journalisation dans le cloud pour aider les défenseurs des réseaux à détecter des tentatives de violation similaires à l’avenir.
Avant cela, ces fonctionnalités de journalisation n’étaient disponibles que pour les clients disposant de licences de journalisation Purview Audit (Premium). En conséquence, Redmond a fait face à de nombreuses critiques pour avoir empêché les organisations de détecter rapidement les attaques de Storm-0558.