Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Microsoft sigue investigando el robo de claves MSA por ataques de correo electrónico
Microsoft dijo que todavía está investigando cómo un actor de amenazas adquirió la clave de inicio de sesión de la cuenta que condujo a cuentas de correo electrónico violadas para varios clientes, incluidas agencias gubernamentales de EE. UU.
La semana pasada, Microsoft reveló que un actor de amenazas con sede en China al que rastrea como Storm-0558 violó cuentas de correo electrónico utilizando Outlook Web Access (OWA) en Exchange Online y Outlook.com con fines de espionaje. Para obtener acceso, los operadores de Storm-0558 robaron una clave de firma de consumidor de una cuenta de Microsoft (MSA) para falsificar tokens para que los usuarios empresariales y de MSA de Azure Active Directory (AD) accedan a las cuentas de Exchange Online y OWA.
El ataque afectó a aproximadamente 25 organizaciones, incluidas agencias gubernamentales, y justificó un aviso de CISA, que dijo que una agencia del poder ejecutivo civil federal detectó inicialmente la actividad sospechosa en junio y fue la primera en informar la actividad a Microsoft. Si bien tanto CISA como Microsoft confirmaron la semana pasada que se robó una clave MSA, no se reveló cómo.
Microsoft publicó una actualización el viernes por la tarde que confirmó que la compañía no sabe cómo se adquirió la clave MSA robada. Sin embargo, también parece que la técnica de Storm-0558 ha sido sofocada por las mitigaciones de Microsoft.
"El método por el cual el actor adquirió la clave es una cuestión de investigación en curso", escribió Microsoft en una publicación de blog. "No se ha observado actividad de actor relacionada con claves desde que Microsoft invalidó la clave de firma MSA adquirida por el actor. Además, hemos visto la transición de Storm-0558 a otras técnicas, lo que indica que el actor no puede utilizar ni acceder a ninguna clave de firma. "
Además, Microsoft dijo que el actor de amenazas pudo usar la clave robada debido a un "error de validación en el código de Microsoft". Ese error permitió a Storm-0558 utilizar también una clave destinada únicamente a cuentas MSA en tokens de autenticación de Azure AD.
Otro nuevo detalle proporcionado en el blog del viernes mostró que la clave de firma del consumidor de MSA robada estaba inactiva. No está claro cómo los atacantes podrían seguir utilizándolo para falsificar tokens.
Microsoft se negó a hacer más comentarios.
La técnica de identidad de Storm-0558 para el acceso implicaba el uso de API, lo que plantea continuos desafíos de seguridad para las empresas. Microsoft dijo que después de que los atacantes aprovecharon los tokens falsificados para obtener acceso a través de un flujo de clientes legítimo, los operadores de Storm-0558 explotaron una falla en GetAccessTokenForResourceAPI, que se solucionó el 26 de junio.
"El actor pudo obtener nuevos tokens de acceso presentando uno emitido previamente desde esta API debido a un defecto de diseño", decía la publicación del blog. "Los actores utilizaron tokens para recuperar mensajes de correo de la API de OWA".
Ese acceso ayudó a Storm-0558 a descargar correos electrónicos y archivos adjuntos, localizar y descargar conversaciones y recuperar información de la carpeta de correo electrónico. El alcance de la exfiltración de datos sigue sin estar claro, pero CISA confirmó que no se accedió a información clasificada desde cuentas de agencias gubernamentales.
Microsoft dijo que completó el reemplazo de la clave el 29 de junio, lo que debería "evitar que el actor de amenazas la use para falsificar tokens". Desde entonces se han emitido nuevas claves de firma en sistemas sustancialmente actualizados.
Como resultado de la infracción, Microsoft aumentó el aislamiento de los sistemas Exchange Online y Outlook de los entornos, aplicaciones y usuarios corporativos. El gigante del software también aumentó las alertas automatizadas relacionadas con el monitoreo clave.
Por ahora, parece que la campaña ha sido bloqueada, pero Microsoft continúa monitoreando la actividad de Storm-0558.
Arielle Waldman es una reportera radicada en Boston que cubre noticias sobre seguridad empresarial.