Microsoft предлагает дополнительную информацию о том, как китайские хакеры получили доступ к учетным записям правительственной электронной почты

Jun 15, 2023

Джон Каллахам Неовин @JCalNEO · 17 июля 2023 г., 8:48 по восточному времени с 0 комментариями

На прошлой неделе Microsoft сообщила, что группа китайских хакеров получила доступ к учетным записям правительственной электронной почты в США и Европе. В частности, группа хакеров проникла в учетные записи электронной почты, которые использовали Microsoft Outlook Web Access, в Exchange Online, а также на Outlook.com.

В последующем сообщении в блоге Microsoft предложила более подробную информацию о том, как этой группе, известной как Storm-0558, удалось получить доступ к этим учетным записям с помощью онлайн-системы компании. Microsoft заявила:

Storm-0558 получил неактивный ключ подписи потребителя MSA и использовал его для подделки токенов аутентификации для предприятия Azure AD и потребителя MSA для доступа к OWA и Outlook.com. Все ключи MSA, активные до инцидента, включая ключ подписи MSA, полученный субъектом, были признаны недействительными. Ключи Azure AD не были затронуты. Способ, с помощью которого актер получил ключ, является предметом продолжающегося расследования. Хотя ключ предназначался только для учетных записей MSA, проблема с проверкой позволила сделать этот ключ надежным для подписи токенов Azure AD. Эта проблема исправлена.

В блоге также объясняется, как группа хакеров использовала этот ключ подписи для получения доступа к веб-версии Outlook:

После проверки подлинности через законный клиентский поток с использованием поддельного токена злоумышленник получил доступ к API OWA, чтобы получить токен для Exchange Online из API GetAccessTokenForResource, используемого OWA. Из-за ошибки проектирования актер смог получить новые токены доступа, предъявив один, ранее выданный через этот API. Этот недостаток в GetAccessTokenForResourceAPI с тех пор был исправлен, и теперь он принимает только токены, выданные из Azure AD или MSA соответственно. Актер использовал эти токены для получения почтовых сообщений из API OWA.

В рамках усилий по устранению этой проблемы Microsoft внесла некоторые изменения в свои процедуры:

Это включает в себя повышенную изоляцию систем, усовершенствованный мониторинг активности системы и переход на защищенное хранилище ключей, используемое для наших корпоративных систем. Мы отозвали все ранее активные ключи и выдали новые ключи с использованием этих обновленных систем. Наше активное расследование показывает, что эти улучшения защиты и изоляции нарушают механизмы, которые, по нашему мнению, злоумышленник мог использовать для получения ключей подписи MSA.

Microsoft заявляет, что от ее веб-клиентов Outlook не требуется никаких действий, поскольку она утверждает, что «все действия участников, связанные с этим инцидентом, были заблокированы». Он добавил, что «продолжит следить за активностью Storm-0558 и внедрять меры защиты для наших клиентов».

Джон Каллахам · 25 августа 2023 г. с 1 комментарием

Джон Каллахам · 6 марта 2023 г., 18 комментариев

Рахул Наскар · 14 октября, 2022 с 0 комментариями