Kínai csoport kormányzati e-mail fiókokat használt ki
A Microsoft által Storm-0558 néven nyomon követett – Kínához kötött – fenyegtési szereplő nyugat-európai kormányzati szerveket használt ki, olyan hitelesítési tokenek segítségével, amelyeket egy korábban megszerzett Microsoft-fiók aláíró kulcs segítségével hamisítottak.
A Microsoft 2023. június 16-án kezdte kivizsgálni a rendellenes levelezési tevékenységet, miután az ügyfelek jelentették a gyanús tevékenységeket. A Microsoft szerint a fiókkompromittálások egy nappal korábban kezdődtek, és a támadóknak sikerült elérniük 25 szervezet alkalmazottainak e-mail-fiókjait.
A kínai kiberkémek kihasználtak egy alapvető hiányt a Microsoft felhőjében, lehetővé téve számukra, hogy feltörjenek néhány e-mail fiókot a külügyminisztériumnál és más ügynökségeknél – jelezte az USA külügyminisztériuma. A kínai kormány számára hasznos információkat kereső hackerek kevesebb mint egy hónapig fértek hozzá az e-mail fiókokhoz, mielőtt felfedezték a problémát.
A támadók az Outlook Web Accessen keresztül és az Outlook.com-on keresztül jutottak be a fiókokba. Az MSA (Microsoft Account – privát) kulcsokat és az Azure AD (vállalati) kulcsokat különálló rendszerekről adják ki és kezelik, és csak a megfelelő rendszerekre érvényesek. A kártékony szerelő ezek egy sérülékenységét használta ki, hogy Azure AD-felhasználói eszközöket használtak, hogy hozzáférjenek a vállalati levelezéshez.
A Microsoft szerint az ügyfeleknek semmit sem kell tenniük, a vállalat letiltotta a kulccsal kiadott rosszindulatúan aláírt tokenek használatát, és lecserélte a kompromittált kulcsot. A Microsoft minden kihasznált vagy feltört szervezettel közvetlenül kapcsolatba lépett és tájékoztatást adott nekik. „Ha nem vették fel Önnel a kapcsolatot, vizsgálataink azt mutatják, hogy Önt nem érintették” – jelezte a cég.
A Microsoft a támadók által kihasznált Microsoft Windows Hardware Developer Program (MWHDP) programjára javításokat adott ki.