Спецпроекты

Безопасность Облака

Разгильдяйство инженера Microsoft помогло китайским хакерам взломать почту министра США

Стало известно, как MSA-ключ, позволивший взломать почтовые учетные записи американских чиновников, оказался в руках китайской хакерской группировки Storm-055. Как показало расследование, проведенное Microsoft, Злоумышленники извлекли его из аварийного дампа Windows, установленной на корпоративном сервере, к которому получили доступ через скомпрометированный аккаунт инженера компании. Системы безопасности Microsoft присутствие столь важной информации в снимке содержимого памяти ОС не зафиксировали и потому не стали бить тревогу.

В Microsoft установили причины июльского инцидента

Microsoft выяснила, каким именно образом злоумышленникам из хакерской группировки Storm-055, удалось взломать почтовые учетные записи в 25 организациях по всему миру, в том числе работникам государственных структур США, пишет The Register.

В ходе атаки, о которой Microsoft и Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщили в середине июля 2023 г., злоумышленникам, в частности, удалось получить временный доступ к почтовому ящику Джины Раймондо (Gina Raimondo), действующего министра торговли США.

Организаторам атаки в Microsoft приписывают связь с властями КНР и подозревают в кибершпионаже, отмечая присущий им высочайший уровень знаний и навыков в сфере информационной безопасности.

Что произошло на самом деле

Внутреннее расследование позволило установить, что группировке Storm-0558, удалось извлечь и похитить криптографический ключ MSA (Microsoft account consumer signing key) из аварийного дампа памяти Windows (снимка содержимого рабочей памяти ОС). Доступ же к дампу злоумышленники получили посредством корпоративной учетной записи, украденной у одного из инженеров Microsoft, который имел доступ к отладочному окружению.

Китайские хакеры извлекли криптографический ключ Microsoft из аварийного дампа Windows

Примечательно, что в обычных условиях криптографические ключи не попадают в аварийный дамп. Однако результате сбоя системы подписи клиента в апреле 2021 г. MSA-ключ просочился в него по причине возникновения состояния гонки (race condition). В дальнейшем аварийный дамп был перенесен из изолированного контура сети Microsoft в сегмент, подсоединенный к интернету, для дальнейшего анализа его содержимого в корпоративной отладочной среде – в строгом соответствии с принятыми в Microsoft процедурами.

При этом ни одна из корпоративных систем безопасности не выявила наличие MSA-ключа в дампе. Соответствующие недостатки систем, как теперь отмечают в Microsoft, были исправлены инженерами компании постфактум.

После попадания дампа в открытый сегмент корпоративной сети Microsoft хакеры из Storm-0558, воспользовавшись скомпрометированным аккаунтом сотрудника компании, смогли скопировать и проанализировать его содержимое, в итоге добравшись до ключа.

В корпорации до сих пор не до конца уверены в правильности своих выводов.

«В связи с политикой хранения логов, в нашем распоряжении отсутствуют логи, содержащие конкретные доказательства проникновения со стороны этого злоумышленника, но это наиболее вероятный механизм, с помощью которого злоумышленник получил ключ», – говорится в сообщении Microsoft.

Украденный MSA-ключ Storm-0558 использовала для подделки токенов аутентификации Azure Active Directory пользователей сервисов Exchange Online и Outlook. В этом им помогла уязвимость нулевого дня, связанная с валидацией GetAccessTokenForResourceAPI.

Опасность атаки не следовало недооценивать

Аналитики ИБ-компании Wiz, основанной выходцами из Microsoft, в июле 2023 г. предупредили о том, что последствия хищения MSA-ключа могут иметь куда более серьезный характер, чем взлом аккаунтов Exchange Online и Outlook.

По словам представителя Wiz, Шира Тамари (Shit Tamari), расследование, проведенное специалистами компании, показало, что могло позволить злоумышленникам подделать чужие подписанные токены для получения доступа к ряду облачных сервисов Microsoft Azure Active Directory, которые поддерживают Microsoft OpenID 2.0, в том числе SharePoint, OneDrive, Teams, Skype и Xbox.

Впрочем, по заявлению представителей Microsoft, специалисты компании оперативно аннулировали похищенный MSA-ключ, что лишило киберпреступников доступа к скомпрометированным учетным записям.

Дмитрий Степанов

Короткая ссылка