Mesi fa i media hanno riferito che una chiave di firma sensibile di Microsoft era caduta nelle mani di un gruppo di hacker cinese chiamato Storm-0558. Solo ora la società di software con sede a Redmond afferma di aver scoperto come gli aggressori hanno ottenuto la chiave.
Per ogni condizione di gara nel Crash-Dump Den
Come Microsoft In un nuovo post sul blog Spiegato, la chiave della firma è in una riparazione del malfunzionamento, che è stato creato nell’aprile 2021 quando il sistema di firma si è bloccato. Ma questa non è la regola: questa chiave sensibile di solito non trova posto nei dati di errore. Uno condizione di gara, che il gruppo ha poi rimosso, ma in questo caso ha portato all’elenco della chiave di firma nel record di dati. Inoltre, i sistemi Microsoft non sono in grado di riconoscere la chiave contenuta nel file di dump del crash. L’azienda ha ora implementato una patch anche per questo.
Credendo che il file di crash dump non contenesse informazioni riservate, si è poi fatto strada dalla rete di produzione isolata all’ambiente di debug di Microsoft, che è collegato alla normale rete aziendale compreso l’accesso a Internet. Sebbene questo processo sia stato eseguito secondo i processi standard di correzione degli errori del gruppo, Microsoft non spiega come o perché i dati siano stati trasferiti.
Gli hacker hanno violato l’account del dipendente
In un ambiente di debug anche i sistemi che cercano attivamente dati di accesso e chiavi su cui dovrebbero attirare l’attenzione non riconoscono la chiave di firma. Nel frattempo Microsoft ha corretto anche questa lacuna. Storm-0558 è riuscito successivamente ad hackerare l’account aziendale di un ingegnere Microsoft e da lì ad accedere all’ambiente di debug, dove gli hacker sono riusciti infine a ottenere il file di crash dump contenente la chiave di firma.
Nonostante tutto, la società di software afferma di non poter dimostrare con prove concrete lo svolgimento degli eventi. La ragione di ciò sono le linee guida stabilite per la memorizzazione dei dati di registro: i registri necessari semplicemente non sono più disponibili. Tuttavia, Microsoft ritiene che questo “Il meccanismo più probabile attraverso il quale l’attore ha ottenuto la chiave“.
La firma delle chiavi ha offerto agli hacker opportunità di vasta portata
Utilizzando la chiave di firma rubata gli hacker cinesi hanno ottenuto un accesso massiccio a diversi account Microsoft. in uno Pubblicato il 14 luglio Si parlava di circa 25 organizzazioni alle quali gli aggressori hanno avuto accesso alle caselle di posta elettronica, compresi gli account di agenzie governative e altri client cloud di Microsoft. All’epoca l’azienda non era in grado di spiegare come gli hacker avessero ottenuto la chiave. Ha semplicemente indicato di aver risolto il problema in modo che gli aggressori non possano abusare della chiave.
E anche se all’epoca Microsoft continuava a sostenere di essere dalla parte del cloud di Microsoft.Nessun altro ambiente è interessatoDa dove provenivano i ricercatori sulla sicurezza Mago Dopo circa una settimana Risultato completamente diverso. Di conseguenza, Storm-0558 è stato in grado di utilizzare la chiave di firma per generare token di accesso per tutte le applicazioni Azure Active Directory che funzionano con OpenID v2.0 di Microsoft. Ciò potrebbe anche consentire loro di accedere agli account Microsoft personali utilizzati in connessione con altri servizi Microsoft come Skype, Outlook, SharePoint, OneDrive, Teams o Xbox. Lui stesso “Applicazioni client che supportano l’autenticazione dell’account Microsoft, incluse quelle che forniscono la funzionalità Accedi con Microsoft.Quindi sono rimasto colpito.
“Fanatico di viaggi esasperatamente umile. Appassionato professionista dei social media. Scrittore dilettante. Aspirante risolutore di problemi. Specialista alimentare generico.”
