Microsoft ha scoperto un attacco contro Exchange Online effettuato dal gruppo Storm-0558. I cybercriminali cinesi hanno creato token di accesso da una chiave di firma rubata e sfruttato una vulnerabilità nelle API di validazione. Secondo i ricercatori di Wiz, il problema di sicurezza riguarda altre applicazioni Azure Active Directory, oltre a quelle consumer.
Problema più grave, Microsoft smentisce
Microsoft ha dichiarato che le uniche applicazioni interessate sono Exchange Online e Outlook.com. I ricercatori di Wiz hanno scoperto che la chiave MSA (Microsoft Account) rubata dai cybercriminali consente di verificare l’autenticità dei token OpenID v2.0 di altre applicazioni Azure Active Directory, tra cui SharePoint, OneDrive e Teams, così come i token delle applicazioni consumer (ad esempio Skype e Xbox) che usano la funzionalità “Login con Microsoft“.
Un malintenzionato che ottiene una chiave di firma potrebbe quindi accedere a qualsiasi app e impersonare qualsiasi account. Microsoft ha revocato tutte le chiavi e bloccato l’uso dei token, ma alcune applicazioni conservano localmente una copia delle vecchie chiavi, quindi sono ancora vulnerabili. Inoltre, prima della revoca, i cybercriminali potrebbero aver già ottenuto la persistenza installando una backdoor.
Allo stato attuale è difficile comprendere il reale impatto del problema. Le aziende dovrebbero esaminare i log delle applicazioni. Microsoft ha dichiarato che molte delle affermazioni dei ricercatori di Wiz sono speculative e non basate su prove.