Resultados da investigação técnica sobre a aquisição da chave do Storm-0558

 (msrc.microsoft.com)
1 pontos por GN⁺ 2023-09-07 | 1 comentários | Compartilhar no WhatsApp
  • O artigo discute os resultados da investigação técnica da Microsoft sobre como o agente de ameaça baseado na China, Storm-0558, obteve uma chave de consumidor de conta Microsoft (MSA), falsificou tokens e acessou o OWA e o Outlook.com.
  • A Microsoft mantém um ambiente de produção altamente seguro e isolado para controlar o acesso de funcionários, incluindo verificação de antecedentes, contas dedicadas, estações de trabalho de acesso seguro e autenticação multifator com dispositivos de token de hardware.
  • Em abril de 2021, ocorreu uma falha de sistema que gerou um snapshot do processo de falha, o qual, devido a uma condição de corrida, passou a incluir a chave de assinatura. Esse problema foi corrigido posteriormente.
  • O dump de falha, que se acreditava não conter material de chave, foi movido da rede de produção isolada para um ambiente de depuração na rede corporativa com conexão à internet, seguindo o processo padrão de depuração.
  • O agente Storm-0558 conseguiu comprometer a conta corporativa de um engenheiro da Microsoft que tinha acesso ao ambiente de depuração onde estava o dump de falha contendo a chave.
  • A chave de consumidor conseguiu acessar e-mails corporativos devido a um endpoint comum de emissão de metadados de chaves introduzido em setembro de 2018. Isso tinha como objetivo dar suporte a aplicativos que trabalham tanto com aplicações de consumidor quanto corporativas.
  • Os desenvolvedores do sistema de e-mail presumiram incorretamente que a biblioteca realizava validação completa e não adicionaram a validação necessária de emissor/escopo, de modo que o sistema de e-mail aceitou solicitações de e-mail corporativo usando tokens de segurança assinados com uma chave de consumidor. Esse problema foi corrigido.
  • Como parte de sua estratégia de defesa em profundidade, a Microsoft continua fortalecendo seus sistemas. As melhorias específicas para essas descobertas incluem a correção da condição de corrida que permitia que dumps de falha incluíssem chaves de assinatura, prevenção, detecção e resposta aprimoradas para material de chave incluído indevidamente em dumps de falha, reforço da varredura de credenciais para detectar melhor a presença de chaves de assinatura em ambientes de depuração e o lançamento de uma biblioteca aprimorada que automatiza a validação de escopo de chaves em bibliotecas de autenticação.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-07
Comentários do Hacker News
  • Artigo sobre a falha crítica na obtenção da chave Storm-0558
  • Falha causada por um resultado inesperado devido a uma condição de corrida rara
  • A chave comprometida era antiga e deveria conceder acesso apenas a contas de e-mail de consumidores, mas, por causa de um bug, também foi permitida para contas de e-mail corporativas
  • Sugestão do artigo de que o invasor tinha um conhecimento profundo da infraestrutura interna da Microsoft
  • Preocupação com a linha do tempo da invasão, com suspeitas de que as credenciais tenham sido comprometidas por mais de 2 anos antes da detecção e divulgação
  • O número de tokens forjados e a extensão dos dados acessados não foram divulgados, levantando dúvidas sobre a gravidade da invasão
  • O artigo enfatiza a necessidade de rotação frequente de chaves para evitar esse tipo de invasão
  • O fato de a chave não estar armazenada em hardware irrecuperável e poder ser usada em um processo comum de servidor sugere uma possível falha de segurança
  • Críticas à ausência do uso de módulos de segurança de hardware (HSMs) para evitar o vazamento do material da chave
  • O artigo aponta que, na seção da Microsoft sobre validação de tokens de acesso, não há menção à verificação da data do emissor ou de revogação
  • Incerteza sobre se a autenticação de dois fatores ou outros métodos adicionais de autenticação foram contornados durante a invasão
  • O artigo termina com a pergunta se houve algum dump conhecido em que e-mails foram extraídos durante o ataque