Microsoft ha prontamente bloccato un attacco effettuato dal gruppo cinese Storm-0558 contro circa 25 organizzazioni, tra cui agenzie governative. Dopo aver fornito alcune informazioni generali riguardo all’attacco, l’azienda di Redmond ha condiviso in dettaglio le tecniche utilizzate dal gruppo per colpire gli account di Exchange Online e Azure Active Directory (AD).
Microsoft ha rivelato alcuni dettagli riguardanti l’attacco subito, ma alcuni aspetti rimangono ancora avvolti nel mistero. Inizialmente, si ipotizzava che l’accesso ai dati di Exchange Online fosse avvenuto attraverso Outlook Web Access (OWA) dopo che i cybercriminali avevano rubato i token di Exchange Online utilizzando un malware. Tuttavia, successivamente hanno scoperto che i cybercriminali cinesi hanno ottenuto falsi token da una chiave di firma Microsoft Account (MSA) inattiva.
Non è noto come il gruppo Storm-0558 abbia ottenuto questa chiave MSA. L’accesso agli account Exchange Online è avvenuto sfruttando un errore di validazione che ha permesso ai cybercriminali di usare la chiave per firmare i token Azure AD. Sfruttando una vulnerabilità delle API GetAccessTokenForResource, sono riusciti a ottenere nuovi token e a recuperare le email tramite API OWA.
Sebbene Microsoft abbia risolto tre vulnerabilità nel servizio cloud, l’azienda non ha fornito dettagli tecnici specifici, compresi i numeri CVE associati alle vulnerabilità. Secondo quanto riportato da ArsTechnica, il gruppo Storm-0558 può utilizzare script Python e PowerShell per effettuare chiamate REST API contro il servizio OWA Exchange Store e scaricare email, allegati e conversazioni, ma questo approccio non è stato utilizzato nell’attacco recente.
Per affrontare la situazione, Microsoft ha bloccato l’uso dei token firmati con la chiave MSA, ha revocato tutte le firme e ha implementato nuovi sistemi per emettere le chiavi. Fortunatamente, agli utenti non è richiesta alcuna azione specifica a seguito di queste misure prese da Microsoft per affrontare l’attacco.
Fonte: Microsoft