Wiz のセキュリティ研究者によると、Storm-0558 中国のハッカーによって盗まれた Microsoft 消費者署名キーにより、Exchange Online および Outlook.com のアカウントをはるかに超えたアクセスが可能になった、とレドモンド氏は述べています。
レドモンド市は7月12日、攻撃者が約24の組織のExchange OnlineとAzure Active Directory(AD)のアカウントを侵害したことを明らかにした。これは、現在パッチが適用されている GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用することで達成され、署名付きアクセス トークンを偽造し、標的の組織内のアカウントになりすますことが可能になります。
影響を受けた組織には、米国国務省や商務省をはじめ、米国および西ヨーロッパ地域の政府機関が含まれています。
Wizのセキュリティ研究者Shir Tamari氏は金曜日、影響はMicrosoftのOpenID v2.0で動作するすべてのAzure ADアプリケーションに広がったと述べた。これは、盗まれたキーが個人アカウント (Xbox、Skype など) およびマルチテナント AAD アプリの OpenID v2.0 アクセス トークンに署名できるためでした。
Microsoft はこの記事の公開後、個人アカウントを受け入れ、検証エラーが発生したアカウントにのみ影響があることを明らかにしました。
Microsoftは、影響を受けるのはExchange OnlineとOutlookのみだとしているが、Wiz氏は、攻撃者が侵害されたMicrosoft消費者署名キーを利用して、影響を受ける顧客やクラウドベースのMicrosoftアプリケーション内のあらゆるアカウントになりすます可能性があると述べている。
「これには、Outlook、SharePoint、OneDrive、Teams などのマネージド Microsoft アプリケーションと、『Microsoft でログイン』機能を許可するアプリケーションなど、Microsoft アカウント認証をサポートする顧客のアプリケーションが含まれます」とタマリ氏は述べています。
「Microsoft の世界ではすべて、アクセスのために Azure Active Directory 認証トークンが利用されています」と Wiz の CTO 兼共同創設者の Ami Luttwak 氏も語りました。
「AAD 署名キーを持つ攻撃者は、あらゆるユーザーとしてほぼすべてのアプリにアクセスできるため、想像できる最も強力な攻撃者です。これは究極のサイバー インテリジェンスのシェイプ シフターのスーパーパワーです。」
このセキュリティ侵害に対応して、Microsoft は有効な MSA 署名キーをすべて取り消し、攻撃者が他の侵害されたキーにアクセスできないようにしました。
この措置により、新しいアクセス トークンを生成する試みも阻止されました。さらに、レドモンドは、新しく生成されたアクセス トークンを会社のエンタープライズ システムのキー ストアに再配置しました。
盗まれたエンタープライズ署名キーを無効にした後、Microsoft は、同じ認証トークン偽造技術を使用して顧客のアカウントへのさらなる不正アクセスを示唆するさらなる証拠を発見しませんでした。
さらに、Microsoft は、Storm-0558 戦術の変化を観察し、攻撃者が署名キーにアクセスできなくなったことを報告しました。
最後になりましたが、同社は先週金曜日、中国のハッカーがどのようにしてマイクロソフトの消費者署名キーを盗んだのかまだ分かっていないことを明らかにしました。しかし、CISA からの圧力を受けて、防御側が将来同様の侵害の試みを検出できるように、クラウド ロギング データへのアクセスを無料で拡大することに同意しました。
これまでは、これらのログ機能は、Purview Audit (プレミアム) ログ ライセンスを支払った Microsoft 顧客のみが利用できました。その結果、Microsoft は、組織が Storm-0558 攻撃を迅速に検出することを妨げているとして、かなりの批判にさらされました。
「マイクロソフトのアプリと顧客のアプリの両方に潜在的に脆弱なアプリケーションが何百万も存在し、そのほとんどが侵害されたかどうかを判断するのに十分なログを欠いているため、現段階でインシデントの全容を判断することは困難である」とタマリ氏は本日結論付けた。
更新 7/22/23: Microsoft からの説明を追加して記事を更新しました。
Comments