Espionnage de comptes Microsoft : la clé de signature provient d’un dump !
Dans un nouvel article, Microsoft revient sur la compromission de comptes opérée par l'acteur malveillant Storm-0558, après avoir mené des investigations techniques. Voici ce que l'on sait.
Souvenez-vous en juillet dernier, Microsoft avait mis en ligne un rapport au sujet d'un groupe de cybercriminels surnommé Storm-0558 par Microsoft et qui était parvenu à pirater 25 comptes de messagerie associé à des agences gouvernementales en exploitant une faille de sécurité dans les services Cloud de l'entreprise américaine. Pour rappel, Storm-0558 est un groupe de cybercriminels associé à la Chine, spécialisé dans l'espionnage et la collecte de renseignements.
Microsoft affirme que les cybercriminels ont pu dérober une clé de signature contenue dans un "crash dump" après avoir compromis le compte professionnel d'un ingénieur de chez Microsoft. Ce dump a fait suite à un incident sur le compte d'un client Microsoft, en avril 2021, et il a été stocké sur un environnement accessible depuis Internet. Les pirates sont parvenus à récupérer ce dump et ce dernier contenait la clé de signature, même si cela n'aurait pas dû être le cas d'après Microsoft.
Dans son rapport, Microsoft précise : "Les crash dumps, qui exfiltres des informations sensibles, ne devraient pas inclure la clé de signature. Dans ce cas, une condition inattendue a permis à la clé d'être présente dans le crash dump (ce problème a été corrigé)."
Grâce à cette clé de signature MSA, les pirates ont pu construire leurs propres jetons d'authentification et ils sont parvenus à accéder aux comptes Exchange Online et Azure Active Directory (Microsoft Entra ID) d'une vingtaine d'organisations. La firme de Redmond a fait le nécessaire pour corriger cette faille de sécurité dans ses services, notamment ce problème de validation dans la fonction GetAccessTokenForResourceAPI. L'entreprise américaine a également révoqué toutes les clés de signature vulnérables.
Un accès à l'ensemble des services Microsoft
Pour Shir Tamari, chercheur en sécurité chez Wiz, il n'y a pas de doute : la clé de signature a permis aux pirates de Storm-0558 d'accéder à l'ensemble des services Cloud de Microsoft, pour les comptes compromis. Le jeton d'authentification Azure Active Directory est un précieux sésame permettant à l'utilisateur d'accéder à tous ses services et applications dans le Cloud Microsoft.
Shir Tamari précise : "Cela inclut les applications Microsoft gérées, telles que Outlook, SharePoint, OneDrive et Teams, ainsi que les applications des clients qui prennent en charge l'authentification du compte Microsoft, y compris celles qui autorisent la fonctionnalité "Se connecter avec Microsoft"". - Rien que ça !