Аналитики из компании Wiz уверены, что недавняя кража криптографического ключа MSA (Microsoft account consumer signing key) у компании Microsoft может иметь гораздо более серьезные последствия, нежели взлом учетных записей Exchange Online и Outlook, которые были скомпрометированы китайской группой Storm-0558. По словам экспертов, утечка оказывает влияние на все приложения Azure AD, работающие с Microsoft OpenID v2.0.
Напомню, что о краже ключа MSA и атаке на Exchange Online и Azure Active Directory (AD) более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы, стало известно в середине июля 2023 года.
Тогда сообщалось, что в середине мая злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты. Известно, что в числе пострадавших числятся Госдеп США и Министерство торговли страны.
Как объясняли в Microsoft, для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью криптографического ключа MSA (Microsoft account consumer signing key), который используется для подписания токенов. Благодаря 0-day проблеме, связанной с валидацией в GetAccessTokenForResourceAPI, хакеры смогли подделать чужие подписанные токены Azure Active Directory (Azure AD или AAD) и выдать себя за своих жертв.
При этом в Microsoft до сих пор не объяснили, как именно такой важный ключ MSA вообще оказался в руках хакеров.
Как теперь заявляют аналитики компании Wiz, специализирующейся на облачной безопасности, проблема затронула все приложения Azure AD, работающие с Microsoft OpenID v2.0. Дело в том, что украденный ключ мог подписать любой токен доступа OpenID v2.0 для личных учетных записей (например, Xbox, Skype) и мультитенантных приложений AAD при определенных условия.
Хотя Microsoft заявляла, что пострадали только Exchange Online и Outlook, по мнению специалистов Wiz, хакеры могли использовать скомпрометированный ключ для выдачи себя за любую учетную запись в любом пострадавшем клиентском или облачном приложении Microsoft. В их число входят managed-приложения Microsoft, такие как Outlook, SharePoint, OneDrive и Teams, а также клиентские приложения, поддерживающие аутентификацию Microsoft Account, включая те, которые позволяют использовать функциональность Login with Microsoft.
Сообщается, что после аннулирования украденного ключа специалисты Microsoft не обнаружили дополнительных доказательств, указывающих на несанкционированный доступ к учетным записям клиентов с использованием того же метода подделки токенов. Кроме того, Microsoft отмечает, что тактика Storm-0558 изменилась, и хакеры более не имеют доступа к каким-либо ключам подписи.
В результате, под давлением сообщества и Агентства по кибербезопасности и защите инфраструктуры США (CISA), компания согласилась бесплатно расширить доступ к данным облачных журналов, чтобы защитники могли обнаруживать подобные попытки взлома в будущем.
Напомню, что о краже ключа MSA и атаке на Exchange Online и Azure Active Directory (AD) более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы, стало известно в середине июля 2023 года.
Тогда сообщалось, что в середине мая злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты. Известно, что в числе пострадавших числятся Госдеп США и Министерство торговли страны.
Как объясняли в Microsoft, для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью криптографического ключа MSA (Microsoft account consumer signing key), который используется для подписания токенов. Благодаря 0-day проблеме, связанной с валидацией в GetAccessTokenForResourceAPI, хакеры смогли подделать чужие подписанные токены Azure Active Directory (Azure AD или AAD) и выдать себя за своих жертв.
При этом в Microsoft до сих пор не объяснили, как именно такой важный ключ MSA вообще оказался в руках хакеров.
Как теперь заявляют аналитики компании Wiz, специализирующейся на облачной безопасности, проблема затронула все приложения Azure AD, работающие с Microsoft OpenID v2.0. Дело в том, что украденный ключ мог подписать любой токен доступа OpenID v2.0 для личных учетных записей (например, Xbox, Skype) и мультитенантных приложений AAD при определенных условия.
Хотя Microsoft заявляла, что пострадали только Exchange Online и Outlook, по мнению специалистов Wiz, хакеры могли использовать скомпрометированный ключ для выдачи себя за любую учетную запись в любом пострадавшем клиентском или облачном приложении Microsoft. В их число входят managed-приложения Microsoft, такие как Outlook, SharePoint, OneDrive и Teams, а также клиентские приложения, поддерживающие аутентификацию Microsoft Account, включая те, которые позволяют использовать функциональность Login with Microsoft.
В ответ на эти обвинения исследователей представители Microsoft вновь подчеркнули, что компания отозвала все ключи MSA, чтобы гарантировать, что злоумышленники не имеют доступа к другим скомпрометированным ключам. И это полностью предотвращает любые попытки создания новых токенов. Также в компании говорят, что многие заявления экспертов Wiz «являются спекулятивными и не основаны на фактах».
Сообщается, что после аннулирования украденного ключа специалисты Microsoft не обнаружили дополнительных доказательств, указывающих на несанкционированный доступ к учетным записям клиентов с использованием того же метода подделки токенов. Кроме того, Microsoft отмечает, что тактика Storm-0558 изменилась, и хакеры более не имеют доступа к каким-либо ключам подписи.
Дело в том, что до этого инцидента возможности ведения журналов были доступны только клиентам Microsoft, которые оплатили соответствующую лицензию Purview Audit (Premium). Из-за этого Microsoft столкнулась с серьезной критикой со стороны ИБ-сообщества, и эксперты заявили, что сама Microsoft мешала организациям оперативно обнаружить атаки Storm-0558.
В результате, под давлением сообщества и Агентства по кибербезопасности и защите инфраструктуры США (CISA), компания согласилась бесплатно расширить доступ к данным облачных журналов, чтобы защитники могли обнаруживать подобные попытки взлома в будущем.
