Microsoftowi skradziono klucz... O co jest ta cała afera?

Wstęp

Doszło do czegoś nieprawdopodobnego. Ktoś zdołał zdobyć jeden z prywatnych kluczy kryptograficznych Microsoftu. Posiadając ten klucz atakujący (głównym podejrzanym jest grupa Storm-0558 podejrzewana o powiązania ze służbami Chińskiej Republiki Ludowej) byli w stanie tworzyć własne tokeny dostępu do aplikacji Azure Active Directory oraz pozyskać dostęp do danych użytkowników serwisów pocztowych Microsoftu (Outlook.com oraz Exchange Online).

Od czego się zaczęło?

16 czerwca 2023 Microsoft rozpoczął wewnętrzne dochodzenie na podstawie doniesień użytkowników Exchange Online o nietypowych anomaliach, które obserwowali w swoich wirtualnych skrzynkach pocztowych. Kilka tygodni później odkryto, że 15 maja 2023 roku grupa Storm-0558 pozyskała dostęp do kont pocztowych należących do około 25 organizacji, w tym jednostek administracji Stanów Zjednoczonych, według The Wall Street Journal ofiarą padł m.in. ambasador USA w ChRL.

Czym jest grupa Storm-0558?

Zdaniem Microsoftu, który śledzi działalność tej grupy, Storm-0558 jest chińską grupą hakerską, nastawioną na działalność szpiegowską w krajach szeroko pojętego Zachodu. Jej głównymi celami są Amerykańskie i Europejskie instytucje dyplomatyczne, ekonomiczne i legislacyjne oraz osoby powiązane z Tajwanem, oraz Ujgurami. W przeszłości odnotowano również zainteresowanie ze strony grupy spółkami medialnymi, think tankami oraz infrastrukturą telekomunikacyjną. Modus operandi opiera się na pozyskaniu dostępu do kont email należących do pracowników organizacji, które akurat są na ich celowniku. Uważa się, że ludzie stojący za grupą posiadają bardzo wysokie zdolności techniczne oraz dysponują znacznymi zasobami.

Podrabianie tokenów

Trochę teorii na początek: tokeny uwierzytelniające służą do walidacji tożsamości proszących o określony zasób — przykładowo o zawartość emaila. Mając odpowiedni token, mamy dostęp do przypisanych mu zasobów. Tę prostą na pierwszy rzut oka zależność wykorzystywali hakerzy z grupy Storm-0558. Pierwotnie zakładano, że działają w oparciu o tokeny skradzione za pomocą złośliwego oprogramowania, którym infekowano ofiarę. Okazało się jednak, że poszli o krok (ale taki bardzo duży krok) dalej — w jakiś sposób (Microsoft do tej pory nie wie, albo nie dzieli się ze światem tą informacją) pozyskali prywatny klucz kryptograficzny Microsoftu, za pomocą którego (oraz błędu walidacji w kodzie Microsoftu, co potem umożliwiło sprawne określenie skali ataku) mogli podpisywać podrobione przez siebie tokeny, dające możliwość uzyskania dostępu do danych użytkowników do danych użytkowników Outlook.com oraz Exchange Online.

Czy to wszystko?

Microsoft w odpowiedzi na incydent zdezaktywował istniejące klucze, żeby wytrącić atakującemu broń z ręki i wdrożył nowe środki bezpieczeństwa. Równolegle trwa dochodzenie mające na celu ustalić okoliczności, w jakich doszło do takiego naruszenia bezpieczeństwa u giganta z Redmond.

W zeszły piątek ukazał się artykuł na stronie Wiz, firmy zajmującej się bezpieczeństwem informacji założonej przez byłych pracowników Microsoftu, z którym teraz ściśle współpracuje w celu ustalenia okoliczności ataku. Artykuł ten wskazuje na to, że atak był znacznie poważniejszy, niż to mogło się komukolwiek wydawać. Okazało się, że wykradziony klucz mógł posłużyć do podrabiania tokenów do całej palety aplikacji Azure Active Directory używających tokenów dostępu OpenID v2.0, takich jak wspomniany wcześniej Outlook, SharePoint, OneDrive i Teams. Ponadto, według badaczy, obejmuje to również funkcję logowania się za pomocą konta Microsoft w innych aplikacjach. O ironio, aplikacje korzystające ze starszego OpenID v1.0 pozostawały bezpieczne.

Jednakże przedstawiciele Microsoftu nie przyznają, że doszło do aż naruszenia bezpieczeństwa w aż takim stopniu, zarzucając badaczom z Wiz opieranie wniosków na spekulacjach. Czy Microsoft mówi prawdę i badacze wyciągają zbyt daleko idące wnioski, czy może chodzi o ochronę twarzy firmy? Nie wiadomo, dlatego należy oczekiwać dalszych informacji dotyczących tego ataku. Warto również dodać, że w następstwie ataku (a możliwe że także nacisków amerykańskiej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) Microsoft zdecydował się udostępnić wszystkim klientom dostęp do logów bezpieczeństwa, co do tej pory było zarezerwowane dla klientów premium.