Résultats de l’enquête technique sur l’acquisition de la clé par Storm-0558

 (msrc.microsoft.com)
1 points par GN⁺ 2023-09-07 | 1 commentaires | Partager sur WhatsApp
  • L’article présente les résultats de l’enquête technique de Microsoft sur la manière dont l’acteur de menace basé en Chine Storm-0558 a obtenu une clé grand public de compte Microsoft (MSA), falsifié des jetons et accédé à OWA et Outlook.com.
  • Microsoft maintient un environnement de production hautement sécurisé et isolé pour contrôler l’accès des employés, avec notamment des vérifications d’antécédents, des comptes dédiés, des postes de travail d’accès sécurisés et une authentification multifacteur au moyen de dispositifs matériels de jeton.
  • En avril 2021, une panne système a provoqué la création d’un instantané du processus de crash, qui a inclus une clé de signature en raison d’une condition de concurrence. Ce problème a ensuite été corrigé.
  • Le vidage sur incident, censé ne pas contenir d’élément clé, a été déplacé du réseau de production isolé vers un environnement de débogage sur le réseau d’entreprise connecté à Internet, conformément au processus standard de débogage.
  • L’acteur Storm-0558 a pu compromettre le compte d’entreprise d’un ingénieur Microsoft ayant accès à l’environnement de débogage où se trouvait le vidage sur incident contenant la clé.
  • La clé grand public a pu accéder à la messagerie d’entreprise en raison d’un endpoint commun d’émission de métadonnées de clé introduit en septembre 2018. Celui-ci visait à prendre en charge les applications fonctionnant à la fois avec des applications grand public et d’entreprise.
  • Les développeurs du système de messagerie ont supposé à tort que la bibliothèque effectuait une validation complète et n’ont pas ajouté la validation requise de l’émetteur et du périmètre ; le système de messagerie a donc accepté des requêtes d’e-mail d’entreprise utilisant des jetons de sécurité signés avec une clé grand public. Ce problème a été corrigé.
  • Microsoft continue de renforcer ses systèmes dans le cadre d’une stratégie de défense en profondeur. Les améliorations spécifiques à ces découvertes incluent la résolution de la condition de concurrence ayant permis l’inclusion de clés de signature dans les vidages sur incident, la prévention de l’inclusion erronée d’éléments clés dans les vidages sur incident, le renforcement de la prévention, de la détection et de la réponse concernant les éléments clés, l’amélioration de l’analyse des identifiants pour mieux détecter la présence de clés de signature dans les environnements de débogage, ainsi que la publication d’une bibliothèque renforcée automatisant la validation du périmètre des clés dans la bibliothèque d’authentification.

À lire aussi

1 commentaires

 
GN⁺ 2023-09-07
Avis Hacker News
  • Article sur l’échec critique ayant permis l’obtention de la clé Storm-0558
  • Échec causé par un résultat inattendu lié à une condition de concurrence rare
  • La clé compromise était ancienne et n’aurait dû donner accès qu’à des comptes e-mail grand public, mais à cause d’un bug, elle a aussi été acceptée pour des comptes e-mail d’entreprise
  • L’article suggère que l’attaquant disposait d’une compréhension approfondie de l’infrastructure interne de Microsoft
  • Inquiétudes concernant la chronologie de la compromission, avec des soupçons selon lesquels les identifiants auraient été compromis pendant plus de deux ans avant leur détection et leur divulgation
  • Le nombre de jetons falsifiés et l’étendue des données consultées n’ont pas été révélés, ce qui soulève des questions sur la gravité de la compromission
  • L’article souligne la nécessité d’une rotation fréquente des clés pour prévenir ce type de compromission
  • Le fait que la clé n’était pas stockée dans un matériel irrécupérable et qu’elle était accessible à un processus serveur classique suggère une faille de sécurité potentielle
  • Critiques sur l’absence d’utilisation de modules matériels de sécurité (HSMs) pour empêcher la fuite des éléments de clé
  • L’article note que la section de Microsoft sur la validation des jetons d’accès ne mentionne ni la date d’émission ni la vérification de révocation de l’émetteur
  • Incertitude sur le fait que l’authentification à deux facteurs ou d’autres méthodes d’authentification supplémentaires aient été contournées pendant la compromission
  • L’article se termine par une question sur l’existence d’un dump connu d’e-mails exfiltrés pendant l’attaque