A Microsoft lançou uma investigação sobre o acesso não autorizado aos serviços de e-mail do Exchange Online de várias agências do governo dos EUA. Os especialistas descobriram que o hack foi bem-sucedido com a ajuda de vulnerabilidades, chaves roubadas e uma chave de assinatura do Azure AD. Mas de onde os hackers conseguiram as chaves provavelmente ainda é um mistério.
Duas dúzias de organizações, incluindo agências do governo dos EUA, foram hackeadas recentemente. Os hackers chineses roubaram uma chave de assinatura do consumidor para uma conta inativa da Microsoft (MSA). O incidente foi relatado por funcionários do governo dos EUA depois que várias agências governamentais descobriram acesso não autorizado aos serviços de e-mail do Exchange Online.
Ação de hackers profissionais chineses
A Microsoft começou a investigar os ataques em 16 de junho e descobriu que um grupo chinês de ciberespionagem conhecido como Storm-0558 estava roubando as contas de e-mail de cerca de 25 organizações (supostamente incluindo o Departamento de Estado dos EUA e o Departamento de Comércio dos EUA) hackeadas. Os invasores usaram a chave de assinatura corporativa roubada do Azure AD para forjar novos tokens de autenticação, explorando uma vulnerabilidade da API GetAccessTokenForResource, dando a eles acesso ao email corporativo dos alvos. "O método pelo qual o ator obteve a chave é objeto de investigação em andamento", admitiu a Microsoft em um novo comunicado divulgado hoje.
Storm-0558 pode usar scripts PowerShell e Python para gerar novos tokens de acesso para o serviço OWA Exchange Store por meio de chamadas REST API para roubar e-mails e anexos. No entanto, a Microsoft não confirmou se essa abordagem foi usada nos ataques de roubo de dados do mês passado no Exchange Online. “Nossos dados e pesquisas de telemetria indicam que a atividade pós-comprometimento foi limitada ao acesso e exfiltração de e-mail para usuários-alvo”, acrescentou a Microsoft hoje.
Chaves e tokens suspeitos bloqueados
A empresa bloqueou o uso da chave de assinatura privada roubada para todos os clientes afetados em 3 de julho, afirmando que a infraestrutura de repetição de token dos invasores foi encerrada um dia depois. Além disso, em 27 de junho, a Microsoft revogou todas as chaves de assinatura MSA válidas. "Nenhuma atividade relacionada à chave foi observada desde que a Microsoft invalidou a chave de assinatura MSA comprada pelo ator", disse a Microsoft.
A Microsoft trabalhou durante todo o curso do ataque e os detalhes técnicos em um comunicado de segurança.
Mais em Microsoft.com
Sobre a Microsoft Alemanha A Microsoft Deutschland GmbH foi fundada em 1983 como subsidiária alemã da Microsoft Corporation (Redmond, EUA). A Microsoft está empenhada em capacitar cada pessoa e cada organização do planeta para alcançar mais. Esse desafio só pode ser superado em conjunto, por isso a diversidade e a inclusão estão firmemente ancoradas na cultura corporativa desde o início. Como fabricante líder mundial de soluções produtivas de software e serviços modernos na era da nuvem inteligente e borda inteligente, bem como desenvolvedora de hardware inovador, a Microsoft se vê como parceira de seus clientes para ajudá-los a se beneficiar da transformação digital. Segurança e privacidade são prioridades no desenvolvimento de soluções. Como o maior colaborador do mundo, a Microsoft impulsiona a tecnologia de código aberto por meio de sua plataforma de desenvolvimento líder, o GitHub. Com o LinkedIn, a maior rede de carreiras, a Microsoft promove o networking profissional em todo o mundo.