Корпорація Майкрософт почала розслідування несанкціонованого доступу до поштових служб Exchange Online кількох державних установ США. Експерти виявили, що злом був успішним за допомогою вразливостей, вкрадених ключів і ключа підпису Azure AD. Але звідки хакери взяли ключі, ймовірно, залишається загадкою.
Нещодавно було зламано два десятки організацій, у тому числі урядові установи США. Китайські хакери вкрали ключ підпису споживача для неактивного облікового запису Microsoft (MSA). Про інцидент повідомили представники уряду США після того, як кілька урядових установ виявили несанкціонований доступ до поштових служб Exchange Online.
Акція китайських професійних хакерів
Microsoft почала розслідувати атаки ще 16 червня та виявила, що китайська кібершпигунська група, відома як Storm-0558, викрадала облікові записи електронної пошти приблизно 25 організацій (як повідомляється, включаючи Державний департамент США та Міністерство торгівлі США), які зламали. Зловмисники використовували викрадений корпоративний ключ підпису Azure AD, щоб підробити нові маркери автентифікації, використовуючи вразливість GetAccessTokenForResource API, надаючи їм доступ до корпоративної електронної пошти цільової адреси. «Метод, за допомогою якого актор отримав ключ, є предметом поточного розслідування», — визнала Microsoft у новому повідомленні, опублікованому сьогодні.
Storm-0558 може використовувати сценарії PowerShell і Python для створення нових маркерів доступу для служби OWA Exchange Store за допомогою викликів REST API для викрадення електронних листів і вкладень. Проте корпорація Майкрософт не підтвердила, чи використовувався цей підхід в атаках на крадіжки даних на Exchange Online минулого місяця. «Наші дані телеметрії та дослідження вказують на те, що діяльність після зламу була обмежена доступом до електронної пошти та викраденням для цільових користувачів», — додала Microsoft сьогодні.
Підозрілі ключі та токени заблоковано
Компанія заблокувала використання вкраденого приватного ключа підпису для всіх постраждалих клієнтів 3 липня, заявивши, що інфраструктуру відтворення токенів зловмисників було закрито через день. Крім того, 27 червня Microsoft анулювала всі дійсні ключі підпису MSA. «Жодної активності, пов’язаної з ключем, не спостерігалося, оскільки Microsoft визнала недійсним ключ підпису MSA, придбаний актором», — заявили в Microsoft.
Корпорація Майкрософт опрацювала весь хід атаки та технічні деталі в консультації з безпеки.
Більше на Microsoft.com
Про Microsoft Німеччина Microsoft Deutschland GmbH була заснована в 1983 році як німецька дочірня компанія Microsoft Corporation (Редмонд, США). Корпорація Майкрософт прагне надати можливість кожній людині та кожній організації на планеті досягти більшого. Цю проблему можна подолати лише разом, тому різноманітність і інклюзивність були міцно закріплені в корпоративній культурі з самого початку. Як провідний світовий виробник продуктивних програмних рішень і сучасних послуг в епоху інтелектуальної хмари та інтелектуального краю, а також розробник інноваційного апаратного забезпечення, Microsoft бачить себе партнером для своїх клієнтів, щоб допомогти їм отримати вигоду від цифрової трансформації. Безпека та конфіденційність є головними пріоритетами при розробці рішень. Як найбільший учасник у світі, Microsoft просуває технологію з відкритим кодом через свою провідну платформу розробників GitHub. За допомогою LinkedIn, найбільшої кар’єрної мережі, Microsoft сприяє розвитку професійних мереж у всьому світі.