O mistério de como os hackers chineses conseguiram roubar uma chave de assinatura crucial que lhes permitiu violar o serviço de e-mail do Microsoft 365 e acessar contas de funcionários de 25 agências governamentais foi explicado: eles a encontraram em algum lugar onde não deveria estar – o ambiente corporativo da Microsoft .
Em resumo, a sequência dos eventos ocorreu da seguinte forma:
A chave de assinatura foi incluída no crash dump de um sistema de assinatura de consumidor, localizado no "ambiente de produção altamente isolado e restrito da Microsoft".
A Microsoft não identificou essa inclusão.
O crash dump foi posteriormente transferido para o ambiente de depuração da empresa, na rede corporativa conectada à Internet.
Em algum momento posterior, os hackers conseguiram comprometer a conta corporativa de um engenheiro da Microsoft, acessar o ambiente de depuração, extrair o despejo de memória e obter a chave.
A Microsoft acredita que esse foi o método mais provável pelo qual os invasores adquiriram a chave, embora não haja registros com evidências específicas de exfiltração por parte do ator, devido às políticas de retenção de registros da empresa.
No entanto, surge a questão de como uma chave de consumidor conseguiu conceder acesso ao correio empresarial. A Microsoft anteriormente explicou que as chaves MSA (consumidor) e as chaves Azure AD (empresa) são emitidas e gerenciadas a partir de sistemas separados e deveriam ser válidas apenas para seus respectivos sistemas. No entanto, os invasores exploraram uma vulnerabilidade de validação de token.
A empresa esclareceu que, para atender à demanda dos clientes para suportar aplicativos que funcionam tanto com contas de consumidores quanto corporativas, introduziu um endpoint de publicação de metadados de chave comum em setembro de 2018. Isso levou a uma atualização da documentação para esclarecer os requisitos de validação de escopo de chave. No entanto, os sistemas de correio foram atualizados para usar o endpoint de metadados comum em 2022, mas alguns desenvolvedores assumiram incorretamente que as bibliotecas executariam a validação completa, resultando na aceitação de solicitações de e-mail corporativo com tokens de segurança assinados com a chave do consumidor.
Ainda há perguntas não respondidas, como por que a chave, que expirou em 4 de abril de 2021, foi considerada válida pelos serviços em nuvem da Microsoft dois anos depois. A empresa não forneceu uma explicação para essa questão.
No entanto, como resultado da violação, a Microsoft anunciou que a partir deste mês, mais clientes governamentais federais e comerciais receberão recursos expandidos de registro em nuvem gratuitamente, facilitando a investigação de invasões.
Comments