Microsoft revela que grupo chinês Storm-0558 roubou uma chave de assinatura usada para violar contas de e-mail do governo

Microsoft descobre falhas na biblioteca ncurses que afetam sistemas Linux e macOS

Em julho, a Microsoft anunciou a mitigação de um ataque conduzido por um agente de ameaças ligado à China, rastreado como Storm-0558, que tinha como alvo e-mails de clientes. Agora, a Microsoft revelou que grupo chinês Storm-0558 roubou uma chave de assinatura usada para violar contas de e-mail do governo.

Storm-0558 roubou uma chave de assinatura da Microsoft para violar contas de e-mail do governo

Os atores da ameaça Storm-0558 concentram-se em agências governamentais na Europa Ocidental e foram observados conduzindo espionagem cibernética, roubo de dados e ataques de acesso a credenciais.

A investigação revelou que o ataque começou em 15 de maio de 2023, quando Storm-0558 obteve acesso a contas de e-mail que afetavam aproximadamente 25 organizações, incluindo agências governamentais, bem como contas de consumidores relacionadas de indivíduos provavelmente associados a essas organizações.

Os invasores falsificaram tokens de autenticação para acessar o e-mail do usuário usando uma chave de assinatura de consumidor de conta Microsoft (MSA) adquirida. Os pesquisadores da Microsoft descobriram que os agentes da ameaça obtiveram acesso às contas de e-mail dos clientes usando o Outlook Web Access no Exchange Online (OWA) e o Outlook.com forjando tokens de autenticação para acessar o e-mail do usuário.

microsoft-revela-que-grupo-chines-storm-0558-roubou-uma-chave-de-assinatura-usada-para-violar-contas-de-e-mail-do-governo

Os invasores usaram uma chave MSA adquirida para falsificar os tokens de acesso ao OWA e ao Outlook.com. Os invasores exploraram um problema de validação de token para se passar por usuários do Azure AD e obter acesso ao correio corporativo.

Detalhes revelados pela Microsoft

A Microsoft agora compartilhou uma investigação técnica abrangente sobre como os invasores obtiveram acesso à chave de assinatura do consumidor da conta da Microsoft.
A empresa descobriu que os agentes da ameaça roubaram uma chave de assinatura usada para violar contas de e-mail do governo de um despejo de memória do Windows após comprometer a conta corporativa de um engenheiro da Microsoft.

A chave MSA vazou acidentalmente em um despejo de memória depois que um sistema de assinatura do consumidor travou em abril de 2021. A investigação revelou que a falha do sistema em abril de 2021 resultou em um instantâneo do processo travado (“crash dump”).

A empresa destacou que os crash dumps não deveriam incluir a chave de assinatura, mas uma condição de corrida permitiu que a chave estivesse presente no crash dump (esse problema foi corrigido pela empresa).

A gigante de TI anunciou que revogou todas as chaves de assinatura MSA válidas para evitar que invasores acessem outras chaves comprometidas.

Via: Security Affairs