Microsoft inició una investigación sobre el acceso no autorizado a los servicios de correo electrónico de Exchange Online de varias agencias gubernamentales de EE. UU. Los expertos descubrieron que el hack tuvo éxito con la ayuda de vulnerabilidades, claves robadas y una clave de firma de Azure AD. Pero probablemente todavía sea un misterio de dónde obtuvieron las claves los piratas informáticos.
Dos docenas de organizaciones, incluidas agencias del gobierno de EE. UU., fueron pirateadas recientemente. Los piratas informáticos chinos robaron una clave de firma del consumidor para una cuenta de Microsoft inactiva (MSA). El incidente fue informado por funcionarios del gobierno de EE. UU. luego de que varias agencias gubernamentales descubrieran un acceso no autorizado a los servicios de correo electrónico de Exchange Online.
Acción de hackers profesionales chinos
Microsoft comenzó a investigar los ataques el 16 de junio y descubrió que un grupo de ciberespionaje chino conocido como Storm-0558 estaba robando las cuentas de correo electrónico de unas 25 organizaciones (según se informa, incluido el Departamento de Estado de EE. UU. y el Departamento de Comercio de EE. UU.) pirateadas. Los atacantes utilizaron la clave de firma corporativa de Azure AD robada para falsificar nuevos tokens de autenticación al explotar una vulnerabilidad de la API GetAccessTokenForResource, lo que les dio acceso al correo electrónico corporativo de los objetivos. "El método por el cual el actor obtuvo la clave es objeto de una investigación en curso", admitió Microsoft en un nuevo aviso publicado hoy.
Storm-0558 puede usar secuencias de comandos de PowerShell y Python para generar nuevos tokens de acceso para el servicio OWA Exchange Store a través de llamadas a la API REST para robar correos electrónicos y archivos adjuntos. Sin embargo, Microsoft no ha confirmado si este enfoque se utilizó en los ataques de robo de datos del mes pasado en Exchange Online. “Nuestros datos de telemetría e investigación indican que la actividad posterior al compromiso se limitó al acceso al correo electrónico y la exfiltración para usuarios específicos”, agregó Microsoft hoy.
Claves sospechosas y tokens bloqueados
La empresa bloqueó el uso de la clave de firma privada robada para todos los clientes afectados el 3 de julio, afirmando que la infraestructura de reproducción del token de los atacantes se cerró un día después. Además, el 27 de junio, Microsoft revocó todas las claves de firma de MSA válidas. "No se ha observado ninguna actividad relacionada con la clave desde que Microsoft invalidó la clave de firma de MSA comprada por el actor", dijo Microsoft.
Microsoft ha trabajado durante todo el curso del ataque y los detalles técnicos en un aviso de seguridad.
Más en Microsoft.com
Acerca de Microsoft Alemania Microsoft Deutschland GmbH fue fundada en 1983 como la subsidiaria alemana de Microsoft Corporation (Redmond, EE. UU.). Microsoft se compromete a empoderar a todas las personas y todas las organizaciones del planeta para lograr más. Este desafío solo se puede superar juntos, razón por la cual la diversidad y la inclusión se han anclado firmemente en la cultura corporativa desde el principio. Como fabricante líder mundial de soluciones de software productivas y servicios modernos en la era de la nube inteligente y el borde inteligente, así como desarrollador de hardware innovador, Microsoft se ve a sí mismo como un socio de sus clientes para ayudarlos a beneficiarse de la transformación digital. La seguridad y la privacidad son las principales prioridades al desarrollar soluciones. Como el mayor contribuyente del mundo, Microsoft impulsa la tecnología de código abierto a través de su plataforma de desarrollo líder, GitHub. Con LinkedIn, la red profesional más grande, Microsoft promueve la creación de redes profesionales en todo el mundo.