Imágenes Getty | aurich lawson
El viernes, Microsoft intentó explicar la causa de una infracción que dio a los piratas informáticos que trabajaban para el gobierno chino acceso a las cuentas de correo electrónico de 25 de sus clientes, incluidos, según se informa, los Departamentos de Estado y Comercio de EE. UU. y otras organizaciones sensibles.
en un publicar el viernesla empresa indicó que el compromiso resultó de tres vulnerabilidades explotadas en su servicio de correo electrónico Exchange Online o Directorio activo de Azure, un servicio de identidad que gestiona el inicio de sesión único y la autenticación multifactor para grandes organizaciones. El equipo de inteligencia de amenazas de Microsoft dijo que Storm-0558, un equipo de piratería con sede en China que realiza espionaje en nombre del gobierno de ese país, los explotó a partir del 15 de mayo. Microsoft expulsó a los atacantes el 16 de junio después de que un cliente informara a los investigadores de la compañía sobre el intrusión.
Por encima de todo: Evite la palabra Z
En el lenguaje estándar entre los profesionales de la seguridad, esto significa que Storm-0558 explotó los días cero en los servicios en la nube de Microsoft. Un “día cero” es una vulnerabilidad conocida o explotada por terceros antes de que el proveedor tenga un parche para ella. “Explotar” significa usar código u otros medios para desencadenar una vulnerabilidad de una manera que cause daño al proveedor oa otros.
Si bien ambas condiciones se cumplen claramente en la intrusión Storm-0558, la publicación del viernes y dos otros Microsoft publicó el martes, haga todo lo posible para evitar las palabras “vulnerabilidad” o “día cero”. En cambio, la empresa utiliza términos considerablemente más amorfos como “problema”, “error” y “defecto” cuando intenta explicar cómo los piratas informáticos del estado-nación rastrearon las cuentas de correo electrónico de algunos de los principales clientes de la empresa.
“El análisis en profundidad de la actividad de Exchange Online descubrió que, de hecho, el actor estaba falsificando tokens de Azure AD utilizando una clave de firma de consumidor de cuenta de Microsoft (MSA) adquirida”, escribieron los investigadores de Microsoft el viernes. “Esto fue posible gracias a un error de validación en el código de Microsoft”.
Más adelante en la publicación, los investigadores dijeron que Storm-0558 adquirió una clave de firma inactiva utilizada para las cuentas en la nube de los consumidores y de alguna manera logró usarla para falsificar tokens para Azure AD, un servicio en la nube supuestamente reforzado que, de hecho, almacena las claves que miles de las organizaciones utilizan para administrar inicios de sesión para cuentas tanto en sus redes internas como en las basadas en la nube.
“El método por el cual el actor adquirió la clave es un tema de investigación en curso”, decía la publicación. “Aunque la clave estaba destinada solo para cuentas MSA, un problema de validación permitió que esta clave fuera confiable para firmar tokens de Azure AD”.
Dos párrafos más adelante, Microsoft dijo que Storm-0558 usó el token falsificado para obtener acceso a las cuentas de correo electrónico de Exchange a través de una interfaz de programación para Outlook Web Access (OWA). Los investigadores escribieron:
Una vez autenticado a través de un flujo de cliente legítimo que aprovecha el token falsificado, el actor de amenazas accedió a la API de OWA para recuperar un token para Exchange Online de la API GetAccessTokenForResource utilizada por OWA. El actor pudo obtener nuevos tokens de acceso al presentar uno emitido anteriormente desde esta API debido a una falla de diseño. Esta falla en GetAccessTokenForResourceAPI se corrigió desde entonces para aceptar solo tokens emitidos desde Azure AD o MSA, respectivamente. El actor usó estos tokens para recuperar mensajes de correo de la API de OWA.
Un resumen sencillo del evento parecería ser: Microsoft ha reparado tres vulnerabilidades en su servicio en la nube que se descubrieron después de que Storm-0558 las explotara para obtener acceso a las cuentas de los clientes. También sería útil si Microsoft proporcionara una designación de seguimiento bajo el sistema CVE (vulnerabilidades y exposiciones comunes) de la misma manera que lo hacen otras compañías de nube. Entonces, ¿por qué Microsoft no hace lo mismo?
“No creo que Microsoft nunca reconozca las vulnerabilidades en sus servicios en la nube (tampoco hay CVE para la nube), y no dices brecha en Microsoft”, investigador independiente Kevin Beaumont. dijo en mastodonte. “Dijeron ‘explotar’ en el blog original de MSRC en relación con los servicios en la nube de Microsoft, y explotas una vulnerabilidad. Así que creo que es justo decir que sí, tenían vuln(es)”.
Microsoft emitió el siguiente comentario: “No tenemos ninguna evidencia de que el actor explotó un día 0”. Microsoft no dio más detalles. En una de las dos publicaciones publicadas el martes, Microsoft dijo: “El actor explotó un problema de validación de token para hacerse pasar por usuarios de Azure AD y obtener acceso al correo empresarial”. Ars ha pedido una aclaración de qué fue exactamente explotado por el actor de amenazas.
Seguridad de pago para jugar
Además de ser opaco sobre la causa raíz de la violación y su propio papel en ella, Microsoft está bajo fuego por ocultar detalles que algunas de las víctimas podrían haber usado para detectar la intrusión, algo que los críticos han llamado “seguridad de pago por jugar”. De acuerdo a la Agencia de Seguridad de la Información y Ciberseguridad de EE. UU., una agencia federal que fue violada por Storm-0558, descubrió la intrusión a través de registros de auditoría que rastrean los inicios de sesión y otros eventos importantes que afectan los eventos en la nube de Microsoft de los clientes.
Sin embargo, Microsoft requiere que los clientes pagar una tarifa adicional para acceder a estos registros. El costo de una licencia empresarial “E5” que permite dicho acceso es de $57 por mes por usuario, en comparación con el costo de una licencia E3 de $36 por mes por cliente.
“El hecho de que Microsoft solo permita que aquellos que pagan el dinero extra por la licencia E5 vean los archivos de registro relevantes es, bueno, algo…”, dijo Will Dorman, analista principal senior de Analygence, en una entrevista. “Si no es un cliente que paga E5, pierde la capacidad de ver que estaba comprometido”.
Si bien las revelaciones de Microsoft han sido menos que comunicativas en cuanto al papel que desempeñaron sus vulnerabilidades en la violación de las cuentas de sus clientes, la revelación del viernes proporciona indicadores útiles que las personas pueden usar para determinar si han sido atacados o comprometidos por Storm-0558.