Microsoft explique comment un groupe de hackers chinois a pu accéder aux comptes de messagerie du gouvernement

En juillet, Microsoft a révélé qu’un groupe de pirates informatiques chinois connu, appelé Storm-0558, avait pu accéder aux comptes de messagerie gouvernementaux aux États-Unis et en Europe occidentale. La société a déclaré que le groupe « avait utilisé une clé MSA acquise pour forger des jetons permettant d’accéder à OWA et Outlook.com ». Elle a ajouté : « L’acteur a exploité un problème de validation de jeton pour usurper l’identité des utilisateurs d’Azure AD et accéder au courrier de l’entreprise ».

Microsoft a lancé une enquête sur la manière dont la clé MSA (compte Microsoft) a été acquise et sur la manière dont une clé grand public a pu accéder aux comptes de messagerie Outlook de l’entreprise. Cette semaine, la société a publié ses conclusions sur son site Web Microsoft Security Responses Center .

Microsoft affirme qu’un événement survenu il y a plus de deux ans a permis au groupe d’accéder à la clé MSA : »

Notre enquête a révélé qu’un crash du système de signature des consommateurs en avril 2021 a donné lieu à un instantané du processus bloqué (« crash dump »). Les vidages sur incident, qui suppriment les informations sensibles, ne doivent pas inclure la clé de signature. Dans ce cas, une condition de concurrence critique permettait à la clé d’être présente dans le vidage sur incident (ce problème a été corrigé). La présence des éléments clés dans le crash dump n’a pas été détectée par nos systèmes.

Microsoft a ajouté que les données de vidage sur incident ont ensuite été déplacées « du réseau de production isolé vers notre environnement de débogage sur le réseau d’entreprise connecté à Internet », ce qui était la procédure standard. Cependant, une analyse des données de vidage sur incident n’a pas détecté la clé MSA. Microsoft affirme que cela a également été corrigé.

La société pense que Storm-0558 a pu obtenir la clé MSA à partir des données de vidage sur incident en compromettant le compte d’entreprise de l’un des ingénieurs de Microsoft. Il n’existe aucune preuve directe indiquant qu’un compte spécifique a été compromis, mais Microsoft estime que « c’était le mécanisme le plus probable par lequel l’acteur a acquis la clé ».

Enfin, la société pense que Storm-0558 a pu dupliquer la clé MSA et la transformer en une clé utilisée pour accéder aux comptes de messagerie d’entreprise en raison d’une erreur lors de la mise à jour d’une API :

Dans le cadre d’une bibliothèque préexistante de documentation et d’API d’assistance, Microsoft a fourni une API pour aider à valider les signatures de manière cryptographique, mais n’a pas mis à jour ces bibliothèques pour effectuer automatiquement cette validation de portée (ce problème a été corrigé). Les systèmes de messagerie ont été mis à jour pour utiliser le point de terminaison de métadonnées commun en 2022. Les développeurs du système de messagerie ont supposé à tort que les bibliothèques effectuaient une validation complète et n’ont pas ajouté la validation d’émetteur/portée requise. Ainsi, le système de messagerie accepterait une demande de courrier électronique d’entreprise utilisant un jeton de sécurité signé avec la clé du consommateur (ce problème a été corrigé à l’aide des bibliothèques mises à jour).

Après la découverte de l’incident de piratage des comptes de messagerie gouvernementaux, Microsoft a bloqué l’utilisation de la clé MSA, ainsi que l’utilisation des jetons émis avec la clé. En août, le Cyber ​​Safety Review Board (CSRB) du gouvernement américain a annoncé qu’il mènerait sa propre enquête sur l’incident . Cela fera partie d’un examen global des pirates informatiques qui s’en prennent aux systèmes de cloud computing et aux entreprises en général.