Hackers chineses conseguiram acessar contas de e-mail de organizações e agências governamentais por meio da manipulação de tokens de autenticação falsificados, utilizando uma chave de assinatura de conta Microsoft (MSA) adquirida. A empresa revelou esses acontecimentos na terça-feira.
"A Microsoft atribui este incidente a um ator de ameaça baseado na China, que é chamado de Storm-0558 pela Microsoft. Avaliamos que esse adversário tem um foco em espionagem, visando obter acesso a sistemas de e-mail para coleta de informações", declarou a empresa.
Este grupo de hackers específico concentrou seus ataques principalmente em agências governamentais na Europa Ocidental, mas, de acordo com o The Washington Post, também afetou várias contas de e-mail não confidenciais nos Estados Unidos.
Os hackers exploraram uma vulnerabilidade na validação de tokens. A Microsoft iniciou a investigação de atividades de e-mail anômalas em 16 de junho de 2023, após receber alertas de clientes.
Concluíram que as contas foram comprometidas a partir do dia anterior e que os invasores conseguiram acessar contas de e-mail de funcionários de 25 organizações, bem como algumas contas de consumidores associados a essas organizações.
Os invasores obtiveram acesso por meio do Outlook Web Access no Exchange Online (OWA) e Outlook.com.
A Microsoft explicou: "As chaves MSA (consumidor) e as chaves Azure AD (empresa) são emitidas e gerenciadas a partir de sistemas separados e devem ser válidas apenas para seus respectivos sistemas. O ator explorou um problema na validação de token para se passar por usuários do Azure AD e obter acesso ao correio corporativo. Não temos indicações de que as chaves do Azure AD ou quaisquer outras chaves MSA tenham sido usadas por este ator. OWA e Outlook.com são os únicos serviços onde observamos o ator usando tokens falsificados com a chave MSA adquirida."
A Microsoft assegurou aos clientes que não é necessário tomar medidas adicionais para se proteger contra esse ataque, pois a empresa já implementou medidas de mitigação (bloqueando o uso de tokens maliciosamente assinados com a chave e substituindo-os). No entanto, não foi mencionado se a vulnerabilidade na validação do token foi corrigida.
A Microsoft entrou em contato diretamente com todas as organizações afetadas ou potencialmente afetadas por meio de seus administradores de locatários e forneceu orientações para ajudar na investigação e resposta. A empresa afirmou: "Se você não foi contatado, nossas investigações indicam que você não foi afetado" e prometeu compartilhar "novos detalhes e recomendações conforme apropriado".
Além disso, a Microsoft revelou que os invasores também exploraram o Microsoft Windows Hardware Developer Program (MWHDP) para assinar drivers maliciosos e já lançou correções para várias vulnerabilidades de dia zero que estavam sendo ativamente exploradas.
ATUALIZAÇÃO (1º de junho de 2023, 04h40 horário do leste dos EUA):
Os ataques foram inicialmente detectados por uma agência federal dos EUA do Poder Executivo Civil Federal quando identificaram eventos de registro suspeitos.
"A agência FCEB observou eventos MailItemsAccessed com ClientAppID e AppID inesperados nos registros de auditoria do M365 em meados de junho de 2023. O evento MailItemsAccessed é gerado quando usuários licenciados acessam itens em caixas de correio do Exchange Online usando qualquer protocolo de conectividade de qualquer cliente. A agência FCEB considerou esta atividade suspeita porque o AppId observado normalmente não acessava itens de caixa de correio em seu ambiente. A agência relatou a atividade à Microsoft e à CISA", explicaram a CISA e o FBI em um comunicado conjunto sobre segurança cibernética divulgado na quarta-feira.
Eles aconselharam agências e organizações de infraestrutura crítica a reforçarem o monitoramento em ambientes Microsoft Exchange Online, implementando as recomendações de registro descritas no comunicado.
ATUALIZAÇÃO (14 de julho de 2023, 15h10 ET):
A Microsoft compartilhou informações adicionais sobre o ataque, mas ainda não conseguiu determinar como o autor da ameaça obteve a chave de assinatura do consumidor MSA.
"Embora a chave fosse destinada apenas a contas MSA, um problema de validação permitiu que essa chave fosse confiável para assinar tokens do Azure AD. Este problema foi corrigido", afirmou a Microsoft em um comunicado.
Comments