La clé de chiffrement privée Microsoft volée par les pirates chinois Storm-0558 leur a fourni un accès bien au-delà des comptes Exchange Online et Outlook.com qui, selon Redmond, ont été compromis, selon les chercheurs en sécurité de Wiz.
Redmond a révélé le 12 juillet que les attaquants avaient piraté les comptes Exchange Online et Azure Active Directory (AD) d’environ deux douzaines d’organisations. Ceci a été réalisé en exploitant un problème de validation zero-day désormais corrigé dans l’API GetAccessTokenForResource, leur permettant de falsifier des jetons d’accès signés et d’usurper l’identité de comptes au sein des organisations ciblées.
Les entités concernées comprenaient des agences gouvernementales des régions des États-Unis et d’Europe occidentale, dont les départements d’État et du commerce des États-Unis.
Vendredi, le chercheur en sécurité de Wiz, Shir Tamari, a déclaré que l’impact s’étendait à toutes les applications Azure AD fonctionnant avec OpenID v2.0 de Microsoft. Cela était dû à la capacité de la clé volée à signer n’importe quel jeton d’accès OpenID v2.0 pour les comptes personnels (par exemple, Xbox, Skype) et les applications AAD multi-locataires.
Alors que Microsoft a déclaré que seuls Exchange Online et Outlook étaient concernés, Wiz affirme que les acteurs de la menace pourraient utiliser la clé privée Azure AD compromise pour usurper l’identité de n’importe quel compte au sein de n’importe quel client ou application Microsoft basée sur le cloud.
« Cela inclut les applications Microsoft gérées, telles qu’Outlook, SharePoint, OneDrive et Teams, ainsi que les applications des clients qui prennent en charge l’authentification de compte Microsoft, y compris celles qui autorisent la fonctionnalité » Connexion avec Microsoft « », a déclaré Tamari.
« Tout dans le monde de Microsoft utilise les jetons d’authentification Azure Active Directory pour l’accès », a également déclaré Wiz CTO et cofondateur Ami Luttwak à Breachtrace.
« Un attaquant avec une clé de signature AAD est l’attaquant le plus puissant que vous puissiez imaginer, car il peut accéder à presque n’importe quelle application – comme n’importe quel utilisateur. Il s’agit de la superpuissance ultime du « transformateur de forme » de la cyber intelligence. »
En réponse à la faille de sécurité, Microsoft a révoqué toutes les clés de signature MSA valides pour s’assurer que les acteurs de la menace n’ont pas accès à d’autres clés compromises.
Cette mesure a également contrecarré toute tentative de génération de nouveaux jetons d’accès. De plus, Redmond a déplacé les jetons d’accès nouvellement générés vers le magasin de clés pour les systèmes d’entreprise de l’entreprise.
Après avoir invalidé la clé de signature d’entreprise volée, Microsoft n’a trouvé aucune autre preuve suggérant un accès non autorisé supplémentaire aux comptes de ses clients en utilisant la même technique de falsification de jeton d’authentification.
De plus, Microsoft a signalé avoir observé un changement dans les tactiques Storm-0558, montrant que les acteurs de la menace n’avaient plus accès à aucune clé de signature.
Enfin, la société a révélé vendredi dernier qu’elle ne savait toujours pas comment les pirates chinois avaient volé la clé de signature Azure AD. Cependant, après la pression de la CISA, ils ont accepté d’étendre gratuitement l’accès aux données de journalisation dans le cloud pour aider les défenseurs à détecter des tentatives de violation similaires à l’avenir.
Auparavant, ces fonctionnalités de journalisation n’étaient disponibles que pour les clients Microsoft qui avaient payé une licence de journalisation Purview Audit (Premium). En conséquence, Microsoft a été vivement critiqué pour avoir empêché les organisations de détecter rapidement les attaques Storm-0558.
« À ce stade, il est difficile de déterminer l’étendue complète de l’incident car il y avait des millions d’applications potentiellement vulnérables, à la fois des applications Microsoft et des applications client, et la majorité d’entre elles n’ont pas les journaux suffisants pour déterminer si elles ont été compromises ou non », a conclu Tamari aujourd’hui.