Microsoft propose plus d'informations sur la façon dont les pirates chinois ont accédé aux comptes de messagerie du gouvernement

Jun 15, 2023

John Callaham Neowin @JCalNEO · 17 juillet 2023 08h48 EDT avec 0 commentaires

La semaine dernière, Microsoft a signalé qu'un groupe de pirates informatiques chinois avait eu accès aux comptes de messagerie gouvernementaux aux États-Unis et en Europe. Plus précisément, le groupe de pirates a saisi des comptes de messagerie qui utilisaient Outlook Web Access de Microsoft dans Exchange Online ainsi que sur Outlook.com.

Dans un article de blog ultérieur, Microsoft a fourni plus de détails sur la manière dont ce groupe, connu sous le nom de Storm-0558, a réussi à accéder à ces comptes à l'aide du système en ligne de l'entreprise. Microsoft a déclaré :

Storm-0558 a acquis une clé de signature de consommateur MSA inactive et l'a utilisée pour forger des jetons d'authentification permettant à Azure AD Enterprise et au consommateur MSA d'accéder à OWA et Outlook.com. Toutes les clés MSA actives avant l’incident – ​​y compris la clé de signature MSA acquise par l’acteur – ont été invalidées. Les clés Azure AD n’ont pas été affectées. La méthode par laquelle l'acteur a acquis la clé fait l'objet d'une enquête en cours. Bien que la clé soit destinée uniquement aux comptes MSA, un problème de validation a permis de faire confiance à cette clé pour la signature des jetons Azure AD. Ce problème a été corrigé.

Le blog explique également comment le groupe de hackers a utilisé cette clé de signature pour accéder à la version web d'Outlook :

Une fois authentifié via un flux client légitime exploitant le jeton falsifié, l'acteur malveillant a accédé à l'API OWA pour récupérer un jeton pour Exchange Online à partir de l'API GetAccessTokenForResource utilisée par OWA. L'acteur a pu obtenir de nouveaux jetons d'accès en présentant un précédemment émis par cette API en raison d'un défaut de conception. Cette faille dans GetAccessTokenForResourceAPI a depuis été corrigée pour accepter uniquement les jetons émis respectivement par Azure AD ou MSA. L'acteur a utilisé ces jetons pour récupérer les messages électroniques de l'API OWA.

Dans le cadre de ses efforts pour résoudre ce problème, Microsoft a apporté quelques modifications à ses procédures :

Cela inclut une isolation accrue des systèmes, une surveillance affinée de l'activité du système et le passage au magasin de clés renforcé utilisé pour nos systèmes d'entreprise. Nous avons révoqué toutes les clés précédemment actives et émis de nouvelles clés en utilisant ces systèmes mis à jour. Notre enquête active indique que ces améliorations en matière de renforcement et d’isolation perturbent les mécanismes que nous pensons que l’acteur aurait pu utiliser pour acquérir les clés de signature MSA.

Microsoft affirme qu'aucune action n'est nécessaire de la part de ses clients Web Outlook car il affirme que "toutes les activités des acteurs liées à cet incident ont été bloquées". Il a ajouté qu'il "continuera à surveiller l'activité de la tempête-0558 et à mettre en œuvre des protections pour nos clients".

John Callaham · 25 août 2023 avec 1 commentaire

John Callaham · 6 mars 2023 avec 18 commentaires

Rahul Naskar · 14 octobre 2022 avec 0 commentaire