Microsoft sigue sin saber cómo los hackers robaron la clave MSA en el ataque a Exchange de 2023

-
La Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional de EE. UU. publicó un informe mordaz sobre cómo Microsoft manejó su ataque Exchange Online de 2023, advirtiendo que la compañía debe mejorar la protección de los datos y ser más sincera sobre cómo los actores de amenazas robaron un Azure. clave de firma.


Microsoft cree que el hackeo de Exchange Online del pasado mes de mayo está relacionado con un actor de amenazas conocido como 'Storm-0558' que robó una clave de firma de Azure de la computadora portátil de un ingeniero que previamente fue comprometida por los piratas informáticos de una empresa adquirida.

Storm-0558 es un actor de ciberespionaje afiliado a China que ha estado activo durante más de dos décadas apuntando a una amplia gama de organizaciones.

Casi 10 meses después de que Microsoft iniciara la investigación, la CSRB afirma que no hay ninguna evidencia definitiva sobre cómo el actor de amenazas obtuvo la clave de firma, independientemente de lo que Microsoft afirmó anteriormente.

Alerta del "Gran Taxi Amarillo"

La CSRB llevó a cabo su análisis del hackeo de Microsoft Exchange Online en 2023 basándose en detalles obtenidos de organizaciones afectadas, empresas y expertos en ciberseguridad, agencias de aplicación de la ley y reuniones con representantes de Microsoft.

El informe señala que Microsoft se enteró de la intrusión después de ser alertado por el Departamento de Estado de EE. UU. el 16 de junio de 2023.

Los signos de la intrusión en los sistemas de correo del Departamento de Estado aparecieron un día antes cuando el centro de operaciones de seguridad (SOC) de la organización observó un acceso anómalo.

Al día siguiente aparecieron varias alertas de seguridad gracias a una regla personalizada, llamada internamente "Big Yellow Taxi", para analizar el registro MailItemsAccessed disponible a través del servicio Audit (Premium) para una retención extendida de registros.

Una capacidad de la acción de auditoría de buzones de MailItemsAccessed es realizar un seguimiento y registrar el acceso a mensajes individuales (operación de vinculación).

La creación de la regla del "Gran Taxi Amarillo" fue posible gracias a que el Departamento de Estado de EE. UU. compró una licencia Microsoft 365 Government G5 que viene con registro mejorado a través del nivel premium del servicio Purview Audit de Microsoft.

Sin embargo, otras organizaciones vulneradas no pudieron detectar que sus cuentas habían sido vulneradas porque no habían adquirido las funciones de registro premium.

Esto llevó a Microsoft a trabajar con CISA para ofrecer funciones de registro críticas de forma gratuita, de modo que todos los clientes pudieran detectar ataques similares.

En febrero, Microsoft decidió ampliar el período de retención de registros predeterminado de 90 a 180 días para todos los clientes estándar de Purview Audit y proporcionar datos de telemetría adicionales a las agencias federales.

La clave olvidada y la actualización

A partir de mediados de mayo de 2023, las cuentas de correo electrónico de más de 500 personas en 22 organizaciones se vieron comprometidas en una campaña de ciberespionaje del grupo de piratería chino Storm-0558.

Los piratas informáticos accedieron a las cuentas de correo electrónico utilizando tokens de autenticación falsificados firmados con una clave de consumidor de Cuenta de Servicios de Microsoft (MSA) que la empresa creó en 2016 y que debería haber sido revocada en marzo de 2021.

La razón por la que la clave sigue siendo válida en 2021 es que la rotación de las claves se hacía manualmente para el sistema del consumidor en ese momento, a diferencia del proceso automatizado para la empresa.

Después de una importante interrupción de la nube debido a la rotación manual, Microsoft detuvo el proceso por completo en 2021, sin dejar ningún sistema para alertar a los empleados sobre claves de firma antiguas y activas en el servicio MSA para consumidores que deberían retirarse.

Aunque la clave MSA de 2016 fue diseñada para firmar tokens de acceso solo para cuentas de consumidores, una vulnerabilidad previamente desconocida permitió a Storm-0558 usarla también con correos electrónicos empresariales.

En una reunión de la junta directiva con CSRB, Microsoft explicó que el problema se introdujo con la creación de un servicio de punto final OpenID Connect (OIDC) que enumeraba claves de firma activas para sistemas de identidad empresariales y de consumidores.


Storm-0558 falsifica token usando una clave MSA robada de 2016
Fuente: CSRB


Sin embargo, los kits de desarrollo de software (SDK) no se actualizaron adecuadamente para distinguir en el punto final entre claves de firma de MSA para consumidores y empresas.


Esto permitió la autenticación de la aplicación de correo electrónico a través del sistema de administración de acceso e identidad (IAM) de Microsoft Entra utilizando cualquier tipo de clave.

No está claro cómo el actor de amenazas descubrió que podía aprovechar el problema para falsificar tokens que funcionaran tanto para cuentas de consumidores como de empresas, pero Microsoft especula que aprendieron de la capacidad mediante prueba y error.

Volcados de emergencia de 2021

Si bien Microsoft dijo en septiembre que el actor de amenazas probablemente obtuvo la clave MSA 2016 de volcados de memoria, la compañía actualizó la publicación inicial del blog tres meses después, el 12 de marzo de 2024, para aclarar que era una teoría y no encontró ninguna evidencia que lo respaldara. él.

Durante la investigación del incidente, Microsoft persiguió este escenario, que es uno de un total de 46 que incluía un adversario con capacidades de computación cuántica que podría romper la criptografía de clave pública.

La teoría que Microsoft compartió con la CSRB es que el hackeo de Exchange Online de 2023 está relacionado con otro incidente en 2021 en el que el mismo actor de amenazas comprometió su red corporativa a través de la cuenta de un ingeniero que había sido pirateada más de un año antes y proporcionó acceso a información confidencial. datos de autenticación y de identidad.

Cuando el dispositivo del ingeniero se vio comprometido, estaban trabajando para Affirmed Networks, que Microsoft adquirió en 2020 para consolidar su plataforma en la nube con “soluciones de redes móviles nativas de la nube y totalmente virtualizadas” para operadores que querían implementar y mantener redes 5G más fácilmente y con costos mas bajos.

Después de adquirir Affirmed Networks y sin realizar una auditoría de ciberseguridad, Microsoft proporcionó credenciales corporativas al ingeniero cuyo dispositivo Storm-0558 ya había sido comprometido.

Sin embargo, la CSRB dice que Microsoft no ha podido proporcionar ninguna evidencia que respalde esta teoría y solo actualizó su aviso con aclaraciones después de recibir presión de la Junta para hacerlo.

“Microsoft cree, aunque no ha presentado pruebas específicas a tal efecto, que esta intrusión de 2021 probablemente estuvo relacionada con el compromiso de Exchange Online de 2023 porque es la única otra intrusión conocida de Storm-0558 en la red de Microsoft en la memoria registrada. Durante este incidente de 2021, Microsoft cree que Storm-0558 obtuvo acceso a datos de identidad y autenticación confidenciales” - Junta de Revisión de Seguridad Cibernética

La CSRB dice que, hasta el día de hoy, Microsoft todavía no tiene pruebas concluyentes sobre cómo los actores de amenazas robaron la clave de firma y que la investigación está en curso.

Storm-0558 se centra en el espionaje
Durante la intrusión de 2023, el actor de amenazas accedió a correos electrónicos de altos representantes del gobierno de EE. UU. que estaban involucrados en asuntos de seguridad nacional:
  • Secretaria de Comercio, Gina Raimondo
  • Embajador de Estados Unidos en la República Popular China, R. Nicholas Burns
  • El congresista Don Bacon
  • Subsecretario de Estado para Asuntos de Asia Oriental y el Pacífico, Daniel Kritenbrink
Durante al menos seis semanas, los piratas informáticos robaron alrededor de 60.000 correos electrónicos no clasificados sólo del Departamento de Estado de Estados Unidos.

Microsoft describe a Storm-0558 como un actor de amenazas con sede en China centrado en el espionaje que opera como un grupo distinto pero cuyas actividades y métodos muestran una superposición con otros grupos chinos.

Sus objetivos se encuentran principalmente en Estados Unidos y Europa y consisten en “órganos de gobierno diplomáticos, económicos y legislativos, e individuos conectados con intereses geopolíticos de Taiwán y uigures”.

La compañía señala que el grupo de piratas informáticos muestra altas habilidades técnicas y de seguridad operativa, un conocimiento profundo de muchas técnicas y aplicaciones de autenticación, y está bien informado sobre el entorno del objetivo.

En una reunión con la CSRB, representantes de Google dijeron que su Grupo de Análisis de Amenazas (TAG) logró vincular “al menos una entidad” relacionada con Storm-0558 con el grupo detrás de la Operación Aurora, un ciberataque en 2009 desde China que comprometió el negocio corporativo de Google. infraestructura y resultó en el robo de propiedad intelectual.

Como parte de la Operación Aurora, que fue el primer ataque sofisticado a gran escala contra el sector comercial, más de 20 empresas más se vieron comprometidas, incluidas Yahoo, Adobe, Morgan Stanley, Juniper Networks, Symantec, Northrop Grumman y Dow Chemical.

Microsoft dice que el objetivo en la mayoría de las campañas Storm-0558 es obtener acceso a las cuentas de correo electrónico de la organización objetivo a través de métodos que van desde la recolección de credenciales y el phishing hasta ataques de tokens OAuth.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más