Microsoft va dir el divendres que un error de validació en el seu codi font va permetre que els tokens d’Azure Active Directory (Azure AD) fossin falsificats per un actor maliciós conegut com Storm-0558 utilitzant una clau de signatura de consumidor de compte Microsoft (MSA) per violar dues dotzenes d’organitzacions.

Storm-0558 va adquirir una clau de signatura de consumidor MSA inactiva i la va utilitzar per a falsificar tokens d’autenticació per Azure AD enterprise i MSA consumer per accedir a OWA i Outlook.com. El mètode pel qual l’actor va adquirir la clau és un assumpte de recerca en curs.

Encara que la clau estava destinada únicament a comptes MSA, un problema de validació va permetre que es confiés en aquesta clau per signar tokens d’Azure AD. Ara, aquest problema ja ha estat corregit.

No és clar immediatament si el problema de validació de tokens va ser explotat com una vulnerabilitat de Zero Day o si Microsoft ja estava al corrent del problema abans que fos objecte d’abús.

Els atacs van afectar unes 25 organitzacions, incloses entitats governamentals i comptes de consumidors associades, per obtenir accés no autoritzat al correu electrònic i filtrar dades de les bústies. Cap altre entorn s’ha vist afectat.

L’empresa va rebre l’avís de l’incident després que el Departament d’Estat dels EUA detectés activitat anòmala del correu electrònic relacionada amb l’accés a dades d’Exchange online. Es sospita que Storm-0558 és un agent d’amenaces amb seu a la Xina que duu a terme activitats cibernètiques malicioses relacionades amb l’espionatge, encara que la Xina ha refutat les acusacions.

Entre els principals objectius de l’equip de pirates es troben organismes diplomàtics, econòmics i legislatius dels Estats Units i Europa, i persones relacionades amb els interessos geopolítics de Taiwan i Uigur, així com empreses de mitjans de comunicació i proveïdors d’equips i serveis de telecomunicacions.

Es diu que ha estat actiu des d’almenys l’agost del 2021, orquestrant la recol·lecció de credencials amb campanyes de phishing i atacs de token OAuth dirigits a comptes de Microsoft per perseguir els seus objectius.

Storm-0558 opera amb un alt grau de destresa tècnica i seguretat operativa, va dir Microsoft, descrivint-lo com tècnicament adepte, ben dotat de recursos i amb un agut coneixement de diverses tècniques i aplicacions d’autenticació.

Els actors coneixen perfectament l’entorn de l’objectiu, les polítiques de registre, els requisits d’autenticació, les polítiques i els procediments.

L’accés inicial a les xarxes de destí es realitza a través de phishing i l’explotació d’errors de seguretat en aplicacions de cara al públic, la qual cosa porta a la implementació de la shell web Xina Chopper per a l’accés de backdoor i una eina anomenada Cigril per facilitar el furt de credencials.

Storm-0558 també empra scripts de PowerShell i Python per extreure dades del correu electrònic, com a arxius adjunts, informació de carpetes i converses completes, mitjançant anomenades a la API de Outlook Web Access (OWA).

Microsoft va dir que des del descobriment de la campanya el 16 de juny de 2023, ha pogut identificar la causa root, establert un seguiment durador de la campanya, interromput les activitats malicioses, reforçat l’entorn, notificat a tots els clients afectats i coordinar diverses accions amb múltiples entitats governamentals. També va assenyalar que havia mitigat el problema en nom dels clients a partir del 26 de juny de 2023.

L’abast exacte de la bretxa encara no és clar, però és l’últim exemple d’un actor d’amenaces amb seu a la Xina que duu a terme ciberatacs a la recerca d’informació sensible i dóna un cop d’intel·ligència sigil·lós sense cridar l’atenció durant almenys un mes abans de ser descobert el juny de 2023.

La revelació es produeix quan Microsoft s’ha enfrontat a crítiques per la seva gestió de l’atac i per ocultar les capacitats forenses després de barreres de llicència addicionals, impedint així als clients accedir a registres d’auditoria detallats que podrien haver ajudat a analitzar l’incident.

Cobrar a la gent per les característiques premium necessàries per no ser hackeajat és com vendre un cotxe i després cobrar extra pels cinturons de seguretat i els coixins de seguretat, va dir el senador estatunidenc Ron Wyden.

La notícia arriba també en el moment en què el Comitè d’Intel·ligència i Seguretat del Parlament britànic (ISC) publica un detallat informe sobre la Xina, en el qual destaca la seva capacitat de ciberespionatge altament eficaç i la seva habilitat per a penetrar en una àmplia gamma de sistemes informàtics de governs estrangers i del sector privat.