leowolfert - stock.adobe.com

Microsoft continue d'enquêter sur la clé MSA volée lors d'attaques par email

Microsoft a fourni des détails additionnels sur l'attaque et les techniques utilisées par Storm-0558. Mais la manière dont la clé de signature du compte Microsoft a été acquise reste inconnue.

Microsoft continue d’enquêter sur la manière dont un acteur malveillant a acquis la clé de connexion au compte qui a conduit à la violation des comptes de courrier électronique de plusieurs clients, y compris des agences gouvernementales américaines.

La semaine dernière, Microsoft a révélé qu'un acteur malveillant basé en Chine, suivi sous la référence Storm-0558, a compromis des comptes de courrier électronique en utilisant Outlook Web Access (OWA) dans Exchange Online et Outlook.com à des fins d'espionnage. Pour obtenir cet accès, les opérateurs de Storm-0558 ont dérobé une clé de signature Microsoft (MSA) grand public pour forger des jetons pour les utilisateurs d'Azure Active Directory (AD et MSA afin d'accéder aux comptes Exchange Online et OWA.

L'attaque a touché environ 25 organisations, y compris des agences gouvernementales, et a justifié une alerte de la part de l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA). Selon celle-ci, une agence exécutive civile fédérale avait initialement détecté l'activité suspecte en juin et a été la première à la signaler à Microsoft. Bien que la CISA et Microsoft aient confirmé la semaine dernière qu'une clé MSA avait été volée, la manière dont ce vol a été conduit n'a pas été révélée.

Microsoft a publié une mise à jour vendredi après-midi confirmant que la société ne sait pas comment la clé MSA volée a été acquise. Cependant, il semble également que la technique de Storm-0558 ait été neutralisée par les mesures d'atténuation de Microsoft.

« La méthode par laquelle l'acteur a acquis la clé fait l'objet d'une enquête en cours », a écrit Microsoft dans un billet de blog : « aucune activité liée à la clé de l'acteur n'a été observée depuis que Microsoft a invalidé la clé de signature MSA acquise par l'acteur. De plus, nous avons vu la transition de Storm-0558 vers d'autres techniques, ce qui indique que l'acteur n'est pas en mesure d'utiliser ou d'accéder à d’autre clé de signature ».

De plus, Microsoft a déclaré que l'acteur de la menace a pu utiliser la clé volée en raison d'une « erreur de validation dans le code de Microsoft ». Cette erreur a permis à Storm-0558 d'utiliser une clé destinée uniquement aux comptes MSA sur les jetons d'authentification Azure AD. Le billet de blog précise entre que la clé de signature de MSA volée était inactive. 

D’une clé détournée à des comptes e-mail compromis

La technique d'identification pour l'accès utilisée par Storm-0558 impliquait l'utilisation d'APIs, qui représentent des défis de sécurité constants pour les entreprises. Microsoft indique qu'après que les attaquants aient utilisé les jetons falsifiés pour obtenir un accès via un flux client légitime, les opérateurs de Storm-0558 ont exploité une vulnérabilité dans l'API GetAccessTokenForResource, qui a été corrigée le 26 juin.

« L'acteur a pu obtenir de nouveaux jetons d'accès en présentant un précédemment délivré par cette API en raison d'une vulnérabilité de conception », explique l’éditeur. « Les acteurs ont utilisé ces jetons pour récupérer des messages de courrier à partir de l'API OWA ».

Cet accès a aidé Storm-0558 à télécharger des emails et des pièces jointes, à localiser et télécharger des conversations, et à récupérer des informations de dossiers d'emails. L'étendue de l'exfiltration de données reste incertaine, mais la CISA a affirmé qu'aucune information classifiée n'a été obtenue depuis les comptes des agences gouvernementales affectées.

Microsoft a annoncé avoir achevé le remplacement clé le 29 juin, ce qui devrait « empêcher l'acteur malveillant de l'utiliser pour falsifier des jetons ». De nouvelles clés de signature ont depuis été délivrées dans des systèmes considérablement mis à jour.

Suite à cette violation, Microsoft a renforcé l'isolement des systèmes Exchange Online et Outlook par rapport aux environnements, aux applications et aux utilisateurs d'entreprise. Le géant du logiciel a également renforcé les alertes automatisées liées à la surveillance des clés.

Pour l'instant, la campagne semble avoir été bloquée, mais Microsoft continue de surveiller l'activité de Storm-0558.

Pour approfondir sur Cyberdéfense

Close