Microsoft ha fornito ulteriori dettagli sull’attacco effettuato a metà luglio dal gruppo cinese Storm-0558 contro 25 organizzazioni, tra cui due agenzie governative degli Stati Uniti (Dipartimento di Stato e del Commercio). L’azienda di Redmond ha scoperto che la chiave MSA è stata rubata da un crash dump di Windows.
Chiave MSA nel crash dump di aprile 2021
I cybercriminali cinesi hanno usato una chiave MSA (Microsoft Account) per creare token di accesso agli account Outlook Web Access (OWA) in Exchange Online e Outlook.com. Successivamente hanno sfruttato un errore di validazione dei token per impersonare utenti Azure Active Directory e guadagnare l’accesso alle email enterprise.
Durante l’indagine, Microsoft ha scoperto che il sistema di firma di un cliente è andato in crash ad aprile 2021. Ciò ha comportato la scrittura su disco di uno snapshot del processo (crash dump). Un crash dump non dovrebbe includere la chiave di firma, ma in questo caso la chiave era presente a causa di un bug (successivamente corretto). I sistemi di Microsoft non hanno rilevato la sua presenza.
Il crash dump è stato quindi spostato dall’ambiente di produzione (isolato) all’ambiente di debugging connesso ad Internet. Il gruppo Storm-0558 ha ottenuto l’accesso all’account di un ingegnere di Microsoft che ha permesso di accedere all’ambiente di debugging e quindi al crash dump che conteneva la chiave MSA.
L’azienda di Redmond ha corretto tutti i problemi di sicurezza e revocato tutte le chiavi MSA. Sono state inoltre aggiornate le librerie usate per validare le firme che hanno permesso di accedere alle email enterprise con una chiave consumer (MSA).
Ti potrebbe interessare
7 set 2023