Una clave de seguridad robada a Microsoft puede haber permitido a espías
respaldados por Beijing acceder a mucho más que cuentas de correo electrónico
de Outlook y Exchange Online de Organismos nacionales.

Microsoft
y
CISA revelaron
recientemente un incidente de seguridad que afectó a varios clientes de
Exchange Online y Outlook.com. Según Microsoft, este incidente se debió a que
un actor de amenazas atribuido a China, Storm-0558, adquirió una clave de
cifrado privada (clave MSA) y la usó para falsificar tokens de acceso para
Outlook Web Access (OWA) y Outlook.com. Además, el actor de amenazas
supuestamente explotó dos problemas de seguridad en el proceso de verificación
de tokens de Microsoft.

Microsoft reveló el ataque el 11 de julio. En ese momento, y en una actualización del 14 de julio, dijo que los espías usaban tokens de autenticación falsificados para
acceder a las cuentas de correo electrónico de las agencias gubernamentales
con fines de espionaje.

Por increíble que parezca, y realmente merece una cobertura más amplia,
alguien de alguna manera obtuvo una de las claves criptográficas privadas
internas de Microsoft que se utiliza para firmar digitalmente tokens de acceso
para sus servicios en línea. Con esa clave, los espías pudieron crear tokens
para
otorgarles acceso a los sistemas de correo electrónico de los clientes de
Microsoft
y, lo que es más importante, firmar esos tokens de acceso para que pareciera
que se emitieron legítimamente por Microsoft.

Con esos «tokens dorados» en la mano, los espías, que se cree que tienen su
sede en China, pudieron iniciar sesión en las cuentas de correo electrónico en
la nube de Microsoft utilizadas por los funcionarios del gobierno de EE.UU.,
incluida la secretaria de Comercio de EE.UU., Gina Raimondo. El ataque fue
detectado por una agencia del gobierno federal, que dio la alarma.

Microsoft todavía, según nuestro leal saber y entender,
no sabe cómo se obtuvo esta clave de firma privada
increíblemente poderosa pero la revocó inmediatamente.

Aquí hay algunos enlaces rápidos:

• El
  análisis de Microsoft del espionaje, como lo expresó, falsificó tokens de acceso firmados por su clave MSA.
  Microsoft apodó a los espías Storm-0558.
• El gobierno de EE.UU.
  se apoya en Redmond
  para que los registros de seguridad en la nube estén disponibles de forma
  gratuita a raíz de este fiasco.

Ahora resulta que la clave privada «era más poderosa de lo que parecía», según
Shir Tamari, jefe de investigación de Wiz, un equipo de seguridad de la
información fundado por ex-ingenieros de seguridad en la nube de Microsoft. Se
¡dice que la clave privada podría haberse utilizado potencialmente para
acceder a mucho más que las cuentas de Outlook y Exchange Online de las
personas, aunque Microsoft ha rechazado esa afirmación.

«Nuestros investigadores concluyeron que la clave MSA comprometida podría
haber permitido al actor de amenazas falsificar tokens de acceso para
múltiples tipos de aplicaciones de Azure Active Directory»,
explicó Tamari
el viernes. Esto incluye aplicaciones de Microsoft que usan tokens de acceso
OpenID v2.0 para la autenticación de cuentas, como Outlook, SharePoint,
OneDrive y Teams.

Además, según Wiz, abarca las propias aplicaciones de los clientes que admiten
la funcionalidad «iniciar sesión con Microsoft», además de las
aplicaciones multi-inquilino configuradas para usar las claves
«comunes»
v2.0 en lugar del de «organizaciones». Las aplicaciones que utilizan OpenID
v1.0 siguen siendo seguras.

Aún así, aunque Microsoft revocó la clave de cifrado comprometida y publicó
una lista de indicadores de compromiso para aquellos que se preguntan si
Storm-0558 también los golpeó. Los investigadores de Wiz dijeron que puede ser
difícil para los clientes de Redmond saber si los malhechores usaron tokens
falsificados para robar datos de sus aplicaciones. Tamari culpó de esto a la
falta de registros relacionados con la verificación de tokens.

Y da la casualidad de que Redmond cedió y acordó
brindar a todos los clientes acceso gratuito
a los registros de seguridad en la nube, un servicio generalmente reservado
para clientes premium, pero no hasta septiembre.

Cuando se le preguntó acerca de las conclusiones de Wiz, y si en el ataque se
pudo haber accedido a algo más que cuentas de correo electrónico, un portavoz
de Microsoft
le dijo a The Register:

Muchas de las afirmaciones hechas son especulativas y no están basadas en
evidencia. Recomendamos que los clientes revisen nuestros blogs,
específicamente nuestro
blog de Microsoft Threat Intelligence, para obtener más información sobre este incidente e investigar sus propios
entornos utilizando los
Indicadores de Compromiso (IoC) que hemos hecho públicos.

Según un informe del jueves en el Wall Street Journal,
los espias también accedieron
a las bandejas de entrada del embajador de Estados Unidos en China, Nicholas
Burns, y Daniel Kritenbrink, el subsecretario de Estado para Asia Oriental.

Todavía no está claro cómo los espías obtuvieron la clave de cifrado privada
en primer lugar.

Según el equipo de seguridad de Wiz, el equipo con sede en China parece haber
obtenido una de las
varias claves
utilizadas para verificar los tokens de acceso de Azure Active Directory
(AAD), lo que les permite firmar como Microsoft cualquier token de acceso
OpenID v2.0 para cuentas personales junto con aplicaciones AAD de cuentas
personales y multi-inquilino.

Si bien Microsoft extrajo la clave comprometida, lo que significa que ya no se
puede usar para falsificar tokens y acceder a las aplicaciones AAD, existe la
posibilidad de que durante las sesiones previamente establecidas, los
atacantes hayan usado este acceso para implementar puertas traseras o
establecer la persistencia.

«Un ejemplo notable de esto es cómo, antes de la mitigación de Microsoft,
Storm-0558 emitió tokens de acceso válidos de Exchange Online falsificando
tokens de acceso para Outlook Web Access (OWA)», escribió Tamari.

Además, las aplicaciones que usan almacenes de certificados locales o claves
en caché aún pueden confiar en la clave comprometida y, por lo tanto, ser
vulnerables a los ataques. Debido a esto, tanto Wiz como Microsoft recomiendan
actualizar esos silos al menos una vez al día.

Fuente:
The Register

Source: Seguridad Informatica

{$excerpt:n}