Помина еден месец откако дознавме дека кинески хакери се здобиле со пристап до Outlook-имејл профилите на 25 светски организации, a Microsoft и натаму не е сигурен како напаѓачите дошле до клучот кој ги овозможил нападите. Во нападот хакерите имале пристап до „MSA consumer signing“ клуч од неактивен Microsoft профил кој го искористиле за да генерираат нови токени за авторизација. За нападот е осомничена кинеската шпионска сајбер-група која Microsoft ја следи под името Storm-0558.
Методот со кој групата дошла до клучот засега е непотврден, а Microsoft вели дека и натаму е цел на истрага.
Кога корисникот ќе пристапи на некој од сервисите на Microsoft, уредот испраќа барање до серверите на Microsoft. Овие сервери го потврдуваат идентитетот на корисникот со проверка на „потписот“ на токенот за автентикација. Ако потписот е валиден тогаш корисникот е најавен и добива пристап.
Инцидентот го пријавиле државни претставници на САД кои забележале неавторизиран пристап до Exchange Online имејл сервисите на 16-ти јуни. Сепак, истрагата открила дека првиот неовластен пристап е на 15-ти мај. Дел од 25-те организации кои се цел на нападите се и Стејт департментот и Одделот за трговија.
Истрагата на Microsoft утврди дека со фалсификување на токени за автентикација за пристап до е-пошта на корисниците, Storm-0558 се здобиле со пристап до е-поштата на клиентите на Outlook Web Access во Exchange Online (OWA) и Outlook.com.
Напаѓачот користел MSA-клуч со кој се здобил порано, за да фалсификува токени за да пристапи до OWA и Outlook.com. Клучевите MSA (consumer) и Azure AD (enterprise) се издаваат и управуваат од посебни системи, и треба да важат само за нивните соодветни системи. Напаѓачот го искористил проблемот со валидацијата на токен за да ги имитира корисниците на Azure AD и да добие пристап до деловната пошта. Немаме индикации дека клучевите Azure AD или било кои други MSA клучеви биле користени од овој напаѓач. OWA и Outlook.com се единствените услуги за кои откривме дека напаѓачот користи фалсификувани токени…
Напаѓачот се здобил со пристап единствено до електронската пошта на жртвите. Кражбата на податоци е ограничена единствено на податоците кои се достапни на електронска пошта и исклучиво за таргетирани корисници.
Старите клучеви се невалидни
На крајот на минатиот месец Microsoft го отповика клучот со кој се креирани фалсификуваните токени. Клучот е заменет и напаѓачот не можеше да го користи за да креира нови фалсификати. Истовремено, блокирани се и креираните токени. Microsoft ги извести 25-те организации и неколкумина корисници на профили кои се поврзани со овие организации.
По повлекувањето на идентификуваниот клуч не се забележани активности поврзани со клучеви, пренесе компанијата.