Хакерская группировка, подозреваемая в связях с Пекином, недавно смогла взломать почтовые ящики Outlook и Exchange Online, а также другие облачные сервисы Microsoft. Для этого злоумышленники использовали украденный криптографический ключ, который позволял им подделывать токены доступа и выдавать себя за сотрудников корпорации.
С помощью поддельных токенов хакеры получили доступ к почтовым аккаунтам высокопоставленных чиновников США, включая министра торговли Джину Раймондо, заместителя госсекретаря США по вопросам Восточной Азии Дэниела Критенбринка и китайского посла Николаса Бёрнса.
Обнаружить нарушение удалось федеральному агентству США, которое и предупредило Microsoft. О том, как именно цифровым бандитам удалось добыть этот криптографический ключ, Microsoft не сообщала. Вскоре после обнаружения атаки данный ключ был отозван корпорацией.
По словам Шира Тамари, руководителя исследовательского отдела компании Wiz, данный ключ был гораздо более мощным, чем могло показаться на первый взгляд. Словам исследователя можно доверять, ведь Wiz была основана бывшими инженерами по безопасности облака Microsoft и знают, как устроенная внутренняя “кухня”.
Согласно отчёту Wiz, украденный ключ мог использоваться для доступа к различным типам приложений Azure Active Directory (AAD), включая приложения Microsoft, использующие токены OpenID v2.0 для аутентификации, такие как Outlook, SharePoint, OneDrive и Teams.
Кроме того, ключ мог работать с приложениями клиентов Microsoft, поддерживающими функцию “вход с помощью Microsoft”, а также с многопользовательскими приложениями, настроенными на использование общего конечного точки v2.0 вместо организационного.
Тем не менее, Microsoft отрицает выводы Wiz и рекомендует клиентам ознакомиться с собственными блогами компании, в частности с блогом Microsoft Threat Intelligence, чтобы узнать больше о происшествии и проверить свои среды с помощью опубликованных индикаторов компрометации (IoC).
Microsoft публично раскрыла атаку 11 июля. Тогда же и в обновлении от 14 июля корпорация заявила, что хакеры использовали поддельные токены доступа для проникновения в почтовые аккаунты правительственных агентств в целях шпионажа.
По данным команды безопасности Wiz, китайская группа, похоже, получила один из нескольких ключей, используемых для проверки токенов доступа AAD, что позволило им подписывать любой токен доступа OpenID v2.0 для личных аккаунтов, а также многопользовательских и личных приложений AAD от имени Microsoft.
Хотя Microsoft отозвал скомпрометированный ключ, что означает, что его больше нельзя использовать для подделки токенов и доступа к приложениям AAD, есть шанс, что во время ранее установленных сессий злоумышленники могли использовать этот доступ для развёртывания “закладок” или иным образом обеспечить постоянность в скомпрометированных системах.
Кроме того, приложения, которые используют локальные хранилища сертификатов или кэшированные ключи, могут по-прежнему доверять скомпрометированному ключу и быть уязвимыми к атакам. Из-за этого как Wiz, так и сама Microsoft настоятельно рекомендуют обновлять эти хранилища хотя бы раз в день.