Le Comité d’examen de la cybersécurité (CSRB) du Département de la Sécurité intérieure des États-Unis a publié un rapport cinglant sur la façon dont Microsoft a géré son attaque Exchange Online de 2023, avertissant que l’entreprise doit mieux sécuriser les données et être plus véridique sur la façon dont les acteurs de la menace ont volé une clé de signature Azure.

Microsoft pense que le piratage d’Exchange Online en mai dernier est lié à un acteur de la menace connu sous le nom de « Storm-0558 » qui a volé une clé de signature Azure sur l’ordinateur portable d’un ingénieur qui avait déjà été compromise par les pirates d’une entreprise acquise.

Storm-0558 est un acteur de cyberespionnage affilié à la Chine qui est actif depuis plus de deux décennies et cible un large éventail d’organisations.

Près de 10 mois après que Microsoft a commencé l’enquête, la CSRB déclare qu’il n’y a aucune preuve définitive sur la façon dont l’auteur de la menace a obtenu la clé de signature, indépendamment de ce que Microsoft a précédemment affirmé.

Alerte « Gros Taxi Jaune »
Le CSRB a mené son analyse du piratage de Microsoft Exchange Online en 2023 sur la base des détails obtenus auprès des organisations touchées, des entreprises et experts en cybersécurité, des forces de l’ordre et des réunions avec des représentants de Microsoft.

Le rapport note que Microsoft a appris l’intrusion après avoir été alerté par le Département d’État américain le 16 juin 2023.

Des signes de l’intrusion dans les systèmes de messagerie du Département d’État sont apparus un jour plus tôt lorsque le centre des opérations de sécurité (SOC) de l’organisation a observé un accès anormal.

Plusieurs alertes de sécurité sont apparues le lendemain grâce à une règle personnalisée, appelée en interne « Big Yellow Taxi », pour analyser le journal d’accès aux éléments de messagerie disponible via le service Audit (Premium) pour une conservation prolongée des enregistrements.

L’une des fonctionnalités de l’action d’audit de boîte aux lettres MailItemsAccessed consiste à suivre et à enregistrer l’accès à des messages individuels (opération de liaison).

La création de la règle du” Gros Taxi jaune  » a été possible parce que le Département d’État américain a acheté une licence Microsoft 365 Government G5 qui comprend une journalisation améliorée via le niveau premium du service d’audit Purview de Microsoft.

Cependant, d’autres organisations piratées n’ont pas été en mesure de détecter que leurs comptes avaient été piratés car elles n’avaient pas acheté les fonctionnalités de journalisation premium.

Cela a conduit Microsoft à travailler avec CISA pour offrir gratuitement des fonctionnalités de journalisation critiques, afin que tous les clients puissent détecter des attaques similaires.

En février, Microsoft a décidé d’étendre la période de conservation des journaux par défaut de 90 à 180 jours pour tous les clients de Purview Audit Standard et de fournir des données de télémétrie supplémentaires aux agences fédérales.

La clé oubliée et la mise à jour
À partir de la mi-mai 2023, les comptes de messagerie de plus de 500 personnes dans 22 organisations ont été compromis dans le cadre d’une campagne de cyberespionnage menée par le groupe de piratage chinois Storm-0558.

Les pirates ont accédé aux comptes de messagerie à l’aide de faux jetons d’authentification signés avec une clé de consommateur Microsoft Services Account (MSA) créée par l’entreprise en 2016 et qui aurait dû être révoquée en mars 2021.

La raison pour laquelle la clé est toujours valide en 2021 est que la rotation des clés était effectuée manuellement pour le système grand public à l’époque, contrairement au processus automatisé pour l’entreprise.

Après une panne majeure du cloud en raison de la rotation manuelle, Microsoft a complètement arrêté le processus en 2021, ne laissant aucun système en place pour alerter les employés des anciennes clés de signature actives dans le service MSA grand public qui devraient être retirées.

Bien que la clé MSA 2016 ait été conçue pour signer des jetons d’accès uniquement pour les comptes grand public, une vulnérabilité jusque-là inconnue a également permis à Storm-0558 de l’utiliser avec les e-mails d’entreprise.

Lors d’une réunion du conseil d’administration avec CSRB, Microsoft a expliqué que le problème avait été introduit avec la création d’un service de point de terminaison OpenID Connect (OIDC) répertoriant les clés de signature actives pour les systèmes d’identité des entreprises et des consommateurs.

Storm – 0558 forge un jeton à l’aide d’une clé MSA volée en 2016

Cependant, les kits de développement logiciel (SDK) n’ont pas été correctement mis à jour pour faire la distinction entre les clés de signature MSA pour les consommateurs et les entreprises.

Cela permettait l’authentification de l’application de messagerie via le système de gestion des identités et des accès (IAM) de Microsoft Entra à l’aide de l’un ou l’autre type de clé.

On ne sait pas comment l’auteur de la menace a découvert qu’il pouvait tirer parti du problème pour forger des jetons qui fonctionnaient à la fois pour les comptes grand public et d’entreprise, mais Microsoft spécule qu’il a appris la capacité par essais et erreurs.

Vidages sur incident à partir de 2021
Alors que Microsoft a déclaré en septembre que l’auteur de la menace avait probablement obtenu la clé MSA 2016 à partir de vidages sur incident, la société a mis à jour le billet de blog initial trois mois plus tard, le 12 mars 2024, pour préciser qu’il s’agissait d’une théorie et qu’elle n’avait trouvé aucune preuve à l’appui.

Au cours de l’enquête sur l’incident, Microsoft a poursuivi ce scénario, qui est l’un des 46 au total qui comprenait un adversaire doté de capacités d’informatique quantique pouvant briser la cryptographie à clé publique.

La théorie que Microsoft a partagée avec le CSRB est que le piratage d’Exchange Online de 2023 est lié à un autre incident survenu en 2021 où le même acteur menaçant a compromis son réseau d’entreprise via le compte d’un ingénieur qui avait été piraté plus d’un an plus tôt et a fourni un accès à des données d’authentification et d’identité sensibles.

Lorsque l’appareil de l’ingénieur a été compromis, ils travaillaient pour Affirmed Networks, que Microsoft a acquis en 2020 pour consolider sa plate-forme cloud avec des “solutions de réseau mobile entièrement virtualisées et natives pour le cloud” pour les opérateurs qui souhaitaient déployer et maintenir les réseaux 5G plus facilement et à moindre coût.

Après avoir acquis des réseaux confirmés et sans effectuer d’audit de cybersécurité, Microsoft a fourni des informations d’identification d’entreprise à l’ingénieur dont l’appareil Storm-0558 avait déjà été compromis.

Cependant, la CSRB affirme que Microsoft n’a été en mesure de fournir aucune preuve à l’appui de cette théorie et n’a mis à jour son avis avec des éclaircissements qu’après avoir reçu des pressions en ce sens de la part du Conseil d’administration.

« Microsoft estime, bien qu’il n’ait produit aucune preuve spécifique à cet effet, que cette intrusion de 2021 était probablement liée au compromis Exchange Online de 2023 car il s’agit de la seule autre intrusion connue de Storm-0558 du réseau de Microsoft dans la mémoire enregistrée. Lors de cet incident de 2021, Microsoft estime que Storm-0558 a eu accès à des données d’authentification et d’identité sensibles  » – Comité d’examen de la cybersécurité

La CSRB affirme qu’à ce jour, Microsoft n’a toujours aucune preuve concluante quant à la manière dont les acteurs de la menace ont volé la clé de signature et que l’enquête est en cours.

Storm-0558 se concentre sur l’espionnage
Au cours de l’intrusion de 2023, l’auteur de la menace a accédé aux courriels de hauts représentants du gouvernement américain impliqués dans des questions de sécurité nationale:

  • Secrétaire au Commerce, Gina Raimondo
  • Ambassadeur des États-Unis en République populaire de Chine, R. Nicholas Burns
  • Membre du Congrès Don Bacon
  • Secrétaire d’État adjoint aux Affaires de l’Asie de l’Est et du Pacifique, Daniel Kritenbrink

Pendant au moins six semaines, les pirates ont volé environ 60 000 courriels non classifiés provenant uniquement du département d’État américain.

Microsoft décrit Storm-0558 comme un acteur de la menace basé en Chine axé sur l’espionnage qui fonctionne comme un groupe distinct mais dont les activités et les méthodes montrent un chevauchement avec d’autres groupes chinois.

Ses cibles se trouvent principalement aux États-Unis et en Europe et consistent en “des organes directeurs diplomatiques, économiques et législatifs, ainsi que des individus liés aux intérêts géopolitiques de Taiwan et des Ouïghours.”

La société note que le groupe de pirates informatiques fait preuve de compétences opérationnelles et techniques élevées en matière de sécurité, d’une compréhension approfondie de nombreuses techniques et applications d’authentification et est bien informé de l’environnement d’une cible.

Lors d’une réunion avec le CSRB, des représentants de Google ont déclaré que son Groupe d’analyse des menaces (TAG) était en mesure de relier “au moins une entité” liée à Storm-0558 au groupe à l’origine de l’opération Aurora, une cyberattaque en 2009 en provenance de Chine qui a compromis l’infrastructure d’entreprise de Google et a entraîné le vol de propriété intellectuelle.

Dans le cadre de l’opération Aurora, qui était la première attaque sophistiquée à grande échelle contre le secteur commercial, plus de 20 autres entreprises ont été compromises, dont Yahoo, Adobe, Morgan Stanley, Juniper Networks, Symantec, Northrop Grumman et Dow Chemical.

Microsoft affirme que l’objectif de la plupart des campagnes Storm-0558 est d’obtenir l’accès aux comptes de messagerie de l’organisation ciblée par le biais de méthodes allant de la récolte des informations d’identification et du phishing aux attaques de jetons OAuth.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *