Los piratas informáticos que recientemente irrumpieron en la red de Microsoft y monitorearon el correo electrónico de los altos ejecutivos durante dos meses lo hicieron obteniendo acceso a una cuenta de prueba antigua con privilegios administrativos, un gran error por parte de la compañía, dijo un investigador.
El nuevo detalle se proporcionó en un lenguaje vagamente redactado incluido en una publicación que Microsoft publicó el jueves. Amplió una divulgación que Microsoft publicó a última hora del viernes pasado. Los piratas informáticos del estado ruso, dijo Microsoft, utilizaron una técnica conocida como pulverización de contraseñas para explotar una credencial débil para iniciar sesión en una “cuenta de inquilino de prueba heredada que no es de producción” que no estaba protegida por autenticación multifactor. A partir de ahí, de alguna manera adquirieron la capacidad de acceder a cuentas de correo electrónico que pertenecían a altos ejecutivos y empleados que trabajaban en equipos legales y de seguridad.
Un “error de configuración bastante grande”
En publicación del jueves Al actualizar a los clientes sobre los hallazgos de su investigación en curso, Microsoft proporcionó más detalles sobre cómo los piratas informáticos lograron esta monumental escalada de acceso. Los piratas informáticos, parte de un grupo que Microsoft rastrea como Midnight Blizzard, obtuvieron acceso persistente a las cuentas de correo electrónico privilegiadas abusando del protocolo de autorización OAuth, que se utiliza en toda la industria para permitir que una variedad de aplicaciones accedan a recursos en una red. Después de comprometer al inquilino de prueba, Midnight Blizzard lo usó para crear una aplicación maliciosa y asignarle derechos para acceder a todas las direcciones de correo electrónico en el servicio de correo electrónico Office 365 de Microsoft.
En la actualización del jueves, los funcionarios de Microsoft dijeron lo mismo, aunque en un lenguaje que oscureció en gran medida el alcance del gran error. Ellos escribieron:
Los actores de amenazas como Midnight Blizzard comprometen las cuentas de los usuarios para crear, modificar y otorgar permisos elevados a aplicaciones OAuth que pueden utilizar indebidamente para ocultar actividad maliciosa. El uso indebido de OAuth también permite a los actores de amenazas mantener el acceso a las aplicaciones, incluso si pierden el acceso a la cuenta inicialmente comprometida. Midnight Blizzard aprovechó su acceso inicial para identificar y comprometer una aplicación OAuth de prueba heredada que tenía acceso elevado al entorno corporativo de Microsoft. El actor creó aplicaciones OAuth maliciosas adicionales. Crearon una nueva cuenta de usuario para otorgar consentimiento en el entorno corporativo de Microsoft a las aplicaciones OAuth maliciosas controladas por el actor. Luego, el actor de amenazas utilizó la aplicación OAuth de prueba heredada para otorgarles la función full_access_as_app de Office 365 Exchange Online, que permite el acceso a los buzones de correo. [Emphasis added.]
Kevin Beaumont, investigador y profesional de la seguridad con décadas de experiencia, incluida una temporada trabajando para Microsoft.señalado en Mastodon que la única forma de que una cuenta asigne el todopoderoso rol full_access_as_app a una aplicación OAuth es que la cuenta tenga privilegios de administrador. “Alguien”, dijo, “cometió un error de configuración bastante grande en producción”.