Hacker

Microsoftは、Storm-0558 中国のハッカーがMicrosoftエンジニアの企業アカウントを侵害した後、政府の電子メールアカウントの侵害に使用される署名キーをWindowsクラッシュダンプから盗んだと発表した。

攻撃者は、盗んだ MSA キーを使用して、米国国務省や商務省などの米国の政府機関を含む約 24 の組織の Exchange Online および Azure Active Directory (AD) アカウントを侵害しました。

彼らは、現在パッチが適用されている GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用し、署名付きアクセス トークンを偽造し、標的の組織内のアカウントになりすますことができました。

Windows クラッシュ ダンプのダイビング

Microsoft は、Storm-0558 の攻撃を調査しているときに、2021 年 4 月に消費者署名システムがクラッシュした後、MSA キーがクラッシュ ダンプに漏洩したことを発見しました。

クラッシュ ダンプには署名キーが含まれていないはずですが、競合状態によりキーが追加されました。このクラッシュ ダンプは、後に会社の隔離された運用ネットワークからインターネットに接続された企業デバッグ環境に移動されました。

攻撃者は、2021 年 4 月のクラッシュ ダンプに誤って含まれていたキーを含むデバッグ環境にアクセスできた Microsoft エンジニアの企業アカウントの侵害に成功した後、キーを発見しました。

「ログ保持ポリシーにより、この攻撃者による流出の具体的な証拠を含むログはありませんが、これが攻撃者がキーを取得した最も可能性の高いメカニズムでした」とMicrosoft は本日明らかにしました

「当社の資格情報スキャン方法ではその存在が検出されませんでした (この問題は修正されました)。」

Microsoft クラウド サービスへの広範なアクセス

Microsoftは7月にこの事件を公表した際、影響を受けるのはExchange OnlineとOutlookのみだと述べたが、Wizのセキュリティ研究者Shir Tamari氏は後に、侵害されたMicrosoft消費者署名キーによってStorm-0558によるMicrosoftクラウドサービスへの広範なアクセスが提供されたと述べた。

Tamari 氏が述べたように、このキーは、影響を受ける顧客またはクラウドベースの Microsoft アプリケーション内の任意のアカウントになりすますために使用される可能性があります。

「これには、Outlook、SharePoint、OneDrive、Teams などのマネージド Microsoft アプリケーションと、『Microsoft でログイン』機能を許可するアプリケーションなど、Microsoft アカウント認証をサポートする顧客のアプリケーションが含まれます」とタマリ氏は述べています。

「Microsoft の世界ではすべて、アクセスのために Azure Active Directory 認証トークンが利用されています」と Wiz の CTO 兼共同創設者の Ami Luttwak 氏も語りました。

「AAD 署名キーを持つ攻撃者は、あらゆるユーザーとしてほぼすべてのアプリにアクセスできるため、想像できる最も強力な攻撃者です。これは究極のサイバー インテリジェンスのシェイプ シフターのスーパーパワーです。」

「古い公開鍵の証明書から、証明書が2016年4月5日に発行され、2021年4月4日に期限切れになっていたことが判明した」とタマリ氏は付け加えた。

レドモンド氏は後に、侵害されたキーは個人アカウントを受け入れ、検証エラーが中国のハッカーによって悪用されたアプリを標的にするためにのみ使用できると語った。

このセキュリティ侵害に対応して、Microsoft は、脅威アクターが他の侵害されたキーにアクセスできないようにするために、有効な MSA 署名キーをすべて取り消しました。このステップにより、新しいアクセス トークンを生成する追加の試みも効果的にブロックされました。さらに、Microsoft は、最近生成されたアクセス トークンを、エンタープライズ システムで使用されるキー ストアに再配置しました。

盗まれた署名キーを無効にした後、マイクロソフトは、同じ認証トークン偽造技術を使用して顧客アカウントに不正アクセスしたという追加の証拠を発見しませんでした。

CISA からの圧力を受けて、Microsoft は、ネットワーク防御者が将来同様の侵害の試みを検出できるように、クラウド ロギング データへのアクセスを無料で拡大することにも同意しました。

これまでは、このようなログ機能は、Purview Audit (Premium) ログ ライセンスを持つ顧客のみが利用できました。その結果、レドモンドは、組織が Storm-0558 の攻撃を迅速に検出することを妨げているとして、かなりの批判に直面しました。