Microsoft ha fornito ulteriori dettagli sull’attacco informatico avvenuto a metà luglio da parte del gruppo cinese Storm-0558, che ha preso di mira 25 organizzazioni, tra cui due agenzie governative statunitensi: il Dipartimento di Stato e il Dipartimento del Commercio. La compagnia ha scoperto che il gruppo aveva ottenuto la chiave MSA (Microsoft Account) da un crash dump di Windows.
I cibercriminali cinesi hanno utilizzato questa chiave MSA per creare token di accesso agli account di Outlook Web Access (OWA) in Exchange Online e Outlook.com. Successivamente, hanno sfruttato un errore nella validazione dei token per impersonare utenti di Azure Active Directory e guadagnare accesso alle email aziendali.
Durante l’indagine, è emerso che il sistema di firma di un cliente era andato in crash a causa di un bug nell’aprile 2021. Questo incidente aveva comportato la scrittura su disco di uno snapshot del processo (crash dump). In teoria, un crash dump non dovrebbe includere la chiave di firma, ma in questo caso, a causa del bug, la chiave era presente. I sistemi di Microsoft non avevano rilevato questa presenza.
Il crash dump è stato poi spostato dall’ambiente di produzione, isolato dall’accesso pubblico, all’ambiente di debugging connesso a Internet. Il gruppo Storm-0558 è riuscito ad ottenere l’accesso all’account di un ingegnere di Microsoft, consentendo loro di accedere all’ambiente di debugging e quindi al crash dump che conteneva la chiave MSA.
Microsoft ha immediatamente affrontato questa vulnerabilità di sicurezza e ha revocato tutte le chiavi MSA coinvolte nell’attacco. Inoltre, sono state apportate modifiche alle librerie utilizzate per la validazione delle firme, il che ha impedito l’accesso alle email aziendali con una chiave consumer (MSA).
Questo evento sottolinea l’importanza della sicurezza dei dati e la necessità per le aziende di rimanere vigili nella protezione delle informazioni sensibili e delle chiavi di accesso.
