Microsoft ha avviato un'indagine sull'accesso non autorizzato ai servizi di posta elettronica di Exchange Online di diverse agenzie governative statunitensi. Gli esperti hanno scoperto che l'attacco ha avuto successo con l'aiuto di vulnerabilità, chiavi rubate e una chiave di firma di Azure AD. Ma da dove gli hacker hanno preso le chiavi è probabilmente ancora un mistero.
Due dozzine di organizzazioni, comprese le agenzie governative degli Stati Uniti, sono state recentemente attaccate. Gli hacker cinesi hanno rubato una chiave di firma del consumatore per un account Microsoft inattivo (MSA). L'incidente è stato segnalato da funzionari del governo degli Stati Uniti dopo che diverse agenzie governative hanno scoperto l'accesso non autorizzato ai servizi di posta elettronica di Exchange Online.
Azione di hacker professionisti cinesi
Microsoft ha iniziato a indagare sugli attacchi il 16 giugno e ha scoperto che un gruppo di spionaggio informatico cinese noto come Storm-0558 stava rubando gli account di posta elettronica di circa 25 organizzazioni (tra cui il Dipartimento di Stato degli Stati Uniti e il Dipartimento del Commercio degli Stati Uniti). Gli aggressori hanno utilizzato la chiave di firma aziendale di Azure AD rubata per creare nuovi token di autenticazione sfruttando una vulnerabilità dell'API GetAccessTokenForResource, consentendo loro di accedere alla posta elettronica aziendale degli obiettivi. "Il metodo con cui l'attore ha ottenuto la chiave è oggetto di indagini in corso", ha ammesso Microsoft in un nuovo avviso rilasciato oggi.
Storm-0558 può utilizzare script PowerShell e Python per generare nuovi token di accesso per il servizio OWA Exchange Store tramite chiamate API REST per rubare e-mail e allegati. Tuttavia, Microsoft non ha confermato se questo approccio sia stato utilizzato negli attacchi di furto di dati del mese scorso su Exchange Online. "I nostri dati di telemetria e la nostra ricerca indicano che l'attività post-compromissione era limitata all'accesso alla posta elettronica e all'esfiltrazione per gli utenti mirati", ha aggiunto oggi Microsoft.
Chiavi e token sospetti bloccati
La società ha bloccato l'uso della chiave di firma privata rubata per tutti i clienti interessati il 3 luglio, affermando che l'infrastruttura di riproduzione dei token degli aggressori è stata chiusa il giorno dopo. Inoltre, il 27 giugno, Microsoft ha revocato tutte le chiavi di firma MSA valide. "Nessuna attività correlata alla chiave è stata osservata da quando Microsoft ha invalidato la chiave di firma MSA acquistata dall'attore", ha affermato Microsoft.
Microsoft ha elaborato l'intero corso dell'attacco e i dettagli tecnici in un avviso di sicurezza.
Altro su Microsoft.com
Informazioni su Microsoft Germania Microsoft Deutschland GmbH è stata fondata nel 1983 come filiale tedesca di Microsoft Corporation (Redmond, USA). Microsoft si impegna a consentire a ogni persona e ogni organizzazione del pianeta di ottenere di più. Questa sfida può essere vinta solo insieme, motivo per cui la diversità e l'inclusione sono state saldamente ancorate nella cultura aziendale sin dall'inizio. In qualità di produttore leader mondiale di soluzioni software produttive e servizi moderni nell'era del cloud intelligente e dell'edge intelligente, nonché sviluppatore di hardware innovativo, Microsoft si considera un partner per i propri clienti per aiutarli a trarre vantaggio dalla trasformazione digitale. La sicurezza e la privacy sono le massime priorità nello sviluppo di soluzioni. In qualità di principale contributore al mondo, Microsoft guida la tecnologia open source attraverso la sua piattaforma di sviluppo leader, GitHub. Con LinkedIn, la più grande rete di carriera, Microsoft promuove il networking professionale in tutto il mondo.