Selon Microsoft, des pirates chinois, nommés Storm-0558, auraient réussi à voler une clé signature de Microsoft pour accéder aux messagerie gouvernementaux grâce à un crash dump de Windows.
Une clé signature de Microsoft ?
Ce 6 septembre, Microsoft a annoncé que les pirates Storm-0558 ont utilisé une clé MSA volée pour s'introduire dans les comptes Exchange Online et Azure Active Directory (AD) d'environ deux douzaines d'organisations. Parmi elles, on retrouve des agences gouvernementales aux États-Unis, telles que les départements d'État et du Commerce.
Ces derniers ont exploité un problème de validation zero-day maintenant corrigé dans l'interface GetAccessTokenForResourceAPI, ce qui leur a permis de falsifier des jetons d'accès signés et d'usurper l'identité de comptes au sein des organisations ciblées.
Un crash dump de Windows ?
En enquêtant sur l'attaque Storm-0558, Microsoft a découvert que la clé MSA avait été divulguée dans un crash dump après qu'un système de signature des consommateurs soit tombé en panne en avril 2021. Ce crash dump a ensuite été déplacé du réseau de production isolé de l'entreprise vers son environnement de débogage connecté à Internet.
Les auteurs de la menace ont trouvé la clé après avoir réussi à compromettre le compte d'entreprise d'un ingénieur de Microsoft, qui avait accès à l'environnement de débogage contenant la clé incluse par erreur dans le crash dump d'avril 2021.
Shir Tamari, chercheur en sécurité chez Wiz, a déclaré par la suite que la clé de signature du consommateur Microsoft compromise permettait à Storm-0558 d'avoir un accès étendu aux services en nuage de Microsoft. La clé pouvait être utilisée pour usurper l'identité de n'importe quel compte au sein de n'importe quel client touché ou de n'importe quelle application Microsoft basée sur le cloud. Cela inclut les applications Microsoft gérées, telles que Outlook, SharePoint, OneDrive et Teams, ainsi que les applications des clients qui prennent en charge l'authentification du compte Microsoft, y compris celles qui autorisent la fonctionnalité 'Login with Microsoft’.
En réponse à la faille de sécurité, Microsoft a révoqué toutes les clés de signature MSA valides afin d'empêcher les acteurs de la menace d'accéder à d'autres clés compromises. Sous la pression de la CISA, Microsoft a également accepté d'élargir gratuitement l'accès aux données d'enregistrement dans le nuage afin d'aider les défenseurs du réseau à détecter des tentatives d'intrusion similaires à l'avenir. Si cet article vous a plu et si vous envisagez une carrière dans la cybersécurité, n’hésitez pas à découvrir nos articles ou notre offre de formation sur CyberUniversity.
Source : msrc.microsoft.com