Microsoft a lancé une enquête sur l'accès non autorisé aux services de messagerie Exchange Online de plusieurs agences gouvernementales américaines. Les experts ont constaté que le piratage avait réussi à l'aide de vulnérabilités, de clés volées et d'une clé de signature Azure AD. Mais d'où les pirates ont obtenu les clés est probablement encore un mystère.
Deux douzaines d'organisations, dont des agences gouvernementales américaines, ont récemment été piratées. Des pirates chinois ont volé une clé de signature grand public pour un compte Microsoft inactif (MSA). L'incident a été signalé par des responsables du gouvernement américain après que plusieurs agences gouvernementales ont découvert un accès non autorisé aux services de messagerie Exchange Online.
Action des hackers professionnels chinois
Microsoft a commencé à enquêter sur les attaques le 16 juin et a découvert qu'un groupe de cyberespionnage chinois connu sous le nom de Storm-0558 avait piraté les comptes de messagerie d'environ 25 organisations (dont le département d'État américain et le département américain du commerce). Les attaquants ont utilisé la clé de signature d'entreprise Azure AD volée pour forger de nouveaux jetons d'authentification en exploitant une vulnérabilité de l'API GetAccessTokenForResource, leur donnant accès à la messagerie d'entreprise des cibles. "La méthode par laquelle l'acteur a obtenu la clé fait l'objet d'une enquête en cours", a admis Microsoft dans un nouvel avis publié aujourd'hui.
Storm-0558 peut utiliser des scripts PowerShell et Python pour générer de nouveaux jetons d'accès pour le service OWA Exchange Store via des appels d'API REST afin de voler des e-mails et des pièces jointes. Cependant, Microsoft n'a pas confirmé si cette approche a été utilisée dans les attaques de vol de données du mois dernier sur Exchange Online. "Nos données de télémétrie et nos recherches indiquent que l'activité post-compromis était limitée à l'accès aux e-mails et à l'exfiltration pour les utilisateurs ciblés", a ajouté Microsoft aujourd'hui.
Clés et jetons suspects bloqués
La société a bloqué l'utilisation de la clé de signature privée volée pour tous les clients concernés le 3 juillet, déclarant que l'infrastructure de relecture des jetons des attaquants avait été fermée un jour plus tard. De plus, le 27 juin, Microsoft a révoqué toutes les clés de signature MSA valides. "Aucune activité liée à la clé n'a été observée depuis que Microsoft a invalidé la clé de signature MSA achetée par l'acteur", a déclaré Microsoft.
Microsoft a travaillé sur tout le déroulement de l'attaque et les détails techniques dans un avis de sécurité.
Plus sur Microsoft.com
À propos de Microsoft Allemagne Microsoft Deutschland GmbH a été fondée en 1983 en tant que filiale allemande de Microsoft Corporation (Redmond, USA). Microsoft s'engage à donner à chaque personne et à chaque organisation de la planète les moyens d'en faire plus. Ce défi ne peut être relevé qu'ensemble, c'est pourquoi la diversité et l'inclusion sont solidement ancrées dans la culture d'entreprise depuis le tout début. En tant que premier fabricant mondial de solutions logicielles productives et de services modernes à l'ère du cloud intelligent et de la périphérie intelligente, ainsi qu'en tant que développeur de matériel innovant, Microsoft se considère comme un partenaire de ses clients afin de les aider à tirer parti de la transformation numérique. La sécurité et la confidentialité sont des priorités absolues lors du développement de solutions. En tant que plus grand contributeur au monde, Microsoft pilote la technologie open source via sa principale plateforme de développement, GitHub. Avec LinkedIn, le plus grand réseau de carrière, Microsoft promeut le réseautage professionnel dans le monde entier.