Microsoft dit qu’il ne sait toujours pas comment les pirates chinois ont volé une clé de signature client inactive de compte Microsoft (MSA) utilisée pour violer les comptes Exchange Online et Azure AD de deux douzaines d’organisations, y compris des agences gouvernementales.
« La méthode par laquelle l’acteur a acquis la clé fait l’objet d’une enquête en cours », a admis Microsoft dans un nouvel avis publié aujourd’hui.
L’incident a été signalé par des responsables du gouvernement américain après la découverte d’un accès non autorisé aux services de messagerie Exchange Online de plusieurs agences gouvernementales.
Microsoft a commencé à enquêter sur les attaques le 16 juin et a découvert qu’un groupe de cyber-espionnage chinois qu’il suit sous le nom de Storm-0558 avait piraté les comptes de messagerie d’environ 25 organisations (dont les départements d’État et du Commerce des États-Unis).
Les acteurs de la menace ont utilisé la clé de signature d’entreprise Azure AD volée pour forger de nouveaux jetons d’authentification en exploitant une faille de l’API GetAccessTokenForResource, leur donnant accès au courrier d’entreprise des cibles.
Storm-0558 peut utiliser des scripts PowerShell et Python pour générer de nouveaux jetons d’accès via des appels d’API REST contre le service OWA Exchange Store pour voler des e-mails et des pièces jointes. Cependant, Redmond n’a pas confirmé s’ils avaient utilisé cette approche lors des attaques de vol de données Exchange Online du mois dernier.
« Notre télémétrie et nos enquêtes indiquent que l’activité post-compromis était limitée à l’accès aux e-mails et à l’exfiltration pour les utilisateurs ciblés », a ajouté Microsoft aujourd’hui.
La société a bloqué l’utilisation de la clé de signature privée volée pour tous les clients concernés le 3 juillet et affirme que l’infrastructure de relecture des jetons des attaquants a été fermée un jour plus tard.
Clés de signature MSA révoquées pour bloquer la falsification de jetons Azure AD
Le 27 juin, Microsoft a également révoqué toutes les clés de signature MSA valides pour bloquer toutes les tentatives de génération de nouveaux jetons d’accès et a déplacé les nouveaux jetons vers le magasin de clés qu’il utilise pour ses systèmes d’entreprise.
« Aucune activité d’acteur liée à la clé n’a été observée depuis que Microsoft a invalidé la clé de signature MSA acquise par l’acteur », a déclaré Microsoft.
Cependant, alors que Redmond n’a plus détecté d’activité malveillante liée à la clé Storm-0558 après avoir révoqué toutes les clés de signature MSA actives et atténué l’activation de la faille API, l’avis d’aujourd’hui indique que les attaquants sont maintenant passés à d’autres techniques.
« Aucune activité d’acteur liée à la clé n’a été observée depuis que Microsoft a invalidé la clé de signature MSA acquise par l’acteur. De plus, nous avons vu la transition Storm-0558 vers d’autres techniques, ce qui indique que l’acteur n’est pas en mesure d’utiliser ou d’accéder à des clés de signature, » a déclaré Microsoft.
Mardi, Microsoft a également révélé que le groupe de cybercriminalité russe RomCom avait exploité un Office zero-day qui n’a pas encore été corrigé lors des récentes attaques de phishing contre des organisations participant au sommet de l’OTAN à Vilnius, en Lituanie.
Les opérateurs RomCom ont utilisé des documents malveillants se faisant passer pour le Congrès mondial ukrainien pour pousser et déployer des charges utiles malveillantes telles que le chargeur MagicSpell et la porte dérobée RomCom.