Microsoft ha bloccato un attacco contro circa 25 organizzazioni, tra cui agenzie governative, effettuato dal gruppo cinese Storm-0558. Dopo aver fornito alcune informazioni generali, l’azienda di Redmond ha illustrato i dettagli delle tecniche utilizzate per colpire gli account Exchange Online e Azure Active Directory (AD).
Dettagli con alcuni misteri
Microsoft ha inizialmente ipotizzato che l’accesso ai dati di Exchange Online dei clienti fosse avvenuto tramite Outlook Web Access (OWA) dopo aver rubato token Azure Active Directory con un malware. Successivamente ha scoperto che i cybercriminali cinesi hanno ottenuto falsi token da una chiave di firma MSA (Microsoft Account) inattiva.
Microsoft ha invalidato la chiave (e tutte quelle precedenti all’incidente), ma non è noto come il gruppo Storm-0558 ha acquisito la chiave. L’accesso agli account Exchange Online è avvenuto sfruttando un errore di validazione che ha permesso di usare la chiave per firmare i token Azure AD. Usando una vulnerabilità delle API GetAccessTokenForResource, i cybercriminali hanno ottenuto nuovi token e quindi recuperato le email tramite API OWA.
Secondo ArsTechnica, Microsoft ha risolto tre vulnerabilità presenti nel servizio cloud, ma non ha comunicato nessun dettaglio tecnico (non ci sono nemmeno i CVE). Il gruppo Storm-0558 può usare anche script Python e PowerShell per effettuare chiamate REST API contro il servizio OWA Exchange Store e scaricare email, allegati e conversazioni, ma questo approccio non è stato usato nel recente attacco.
Come detto, Microsoft ha bloccato l’uso dei token firmati con la chiave MSA, revocato tutte le firme e implementato nuovi sistemi per emettere le chiavi. Non è richiesta nessuna azione da parte degli utenti.