Microsoft explique enfin la cause de la faille Azure : le compte d’un ingénieur a été piraté
D’autres échecs en cours de route comprenaient une clé de signature apparaissant incorrectement dans un vidage sur incident.
Microsoft a déclaré que le compte professionnel de l’un de ses ingénieurs avait été piraté par un acteur malveillant hautement qualifié qui avait acquis une clé de signature utilisée pour pirater des dizaines de comptes Azure et Exchange appartenant à des utilisateurs de haut niveau.
Cette divulgation résout deux mystères au centre d’une divulgation faite par Microsoft en juillet . La société a déclaré que les pirates identifiés sous le nom de Storm-0558 étaient présents dans son réseau d’entreprise depuis plus d’un mois et avaient accédé aux comptes Azure et Exchange, dont plusieurs ont ensuite été identifiés comme appartenant aux départements d’État et du commerce des États-Unis. Storm-0558 a réussi l’exploit en obtenant une clé de signature de compte Microsoft expirée et en l’utilisant pour forger des jetons pour le service cloud Azure AD soi-disant fortifié de Microsoft.
Cette révélation a laissé sans réponse deux des questions les plus importantes. Plus précisément, comment un identifiant aussi sensible que la clé de signature du consommateur a-t-il été volé sur le réseau de Microsoft, et comment a-t-il pu signer des jetons pour Azure, qui repose sur une infrastructure totalement différente ?
Mercredi, Microsoft a finalement résolu les énigmes. Le compte professionnel d’un de ses ingénieurs avait été piraté. Storm-0558 a ensuite utilisé l’accès pour voler la clé. De telles clés, a déclaré Microsoft, sont confiées uniquement aux employés ayant subi une vérification des antécédents et uniquement lorsqu’ils utilisent des postes de travail dédiés protégés par une authentification multifacteur à l’aide de dispositifs à jetons matériels. Pour protéger cet environnement dédié, les outils de messagerie électronique, de conférence, de recherche sur le Web et autres outils de collaboration ne sont pas autorisés, car ils constituent les vecteurs les plus courants pour les attaques de logiciels malveillants et de phishing réussies. De plus, cet environnement est séparé du reste du réseau Microsoft, où les travailleurs ont accès au courrier électronique et à d’autres types d’outils.
Ces protections ont été rompues en avril 2021, plus de deux ans avant que Storm-0558 n’accède au réseau de Microsoft. Lorsqu’un poste de travail dans l’environnement de production dédié tombait en panne, Windows effectuait un « vidage sur incident » standard dans lequel toutes les données stockées en mémoire étaient écrites sur le disque afin que les ingénieurs puissent ultérieurement en diagnostiquer la cause. Le vidage sur incident a ensuite été déplacé vers l’environnement de débogage de Microsoft. Le piratage du compte d’entreprise d’un ingénieur Microsoft a permis à Storm-0558 d’accéder au vidage sur incident et, avec lui, à la clé de signature Exchange expirée.
Normalement, les vidages sur incident suppriment les clés de signature et les données tout aussi sensibles. Dans ce cas, cependant, une vulnérabilité jusqu’alors inconnue, connue sous le nom de « condition de concurrence critique », a empêché ce mécanisme de fonctionner correctement.
Les membres du Microsoft Security Response Center ont écrit :
Notre enquête a révélé qu’un crash du système de signature des consommateurs en avril 2021 a donné lieu à un instantané du processus bloqué (« crash dump »). Les vidages sur incident, qui suppriment les informations sensibles, ne doivent pas inclure la clé de signature. Dans ce cas, une condition de concurrence critique permettait à la clé d’être présente dans le vidage sur incident (ce problème a été corrigé). La présence du matériel clé dans le vidage sur incident n’a pas été détectée par nos systèmes (ce problème a été corrigé).
Nous avons constaté que ce vidage sur incident, censé à l’époque ne contenir aucun élément clé, avait ensuite été déplacé du réseau de production isolé vers notre environnement de débogage sur le réseau d’entreprise connecté à Internet. Ceci est cohérent avec nos processus de débogage standard. Nos méthodes d’analyse des informations d’identification n’ont pas détecté sa présence (ce problème a été corrigé).
Après avril 2021, lorsque la clé a été divulguée dans l’environnement de l’entreprise lors du crash dump, l’acteur de Storm-0558 a réussi à compromettre le compte d’entreprise d’un ingénieur Microsoft. Ce compte avait accès à l’environnement de débogage contenant le vidage sur incident qui contenait de manière incorrecte la clé. En raison des politiques de conservation des journaux, nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel l’acteur a acquis la clé.
Répondant au deuxième mystère, l’article explique comment une clé de signature expirée pour un compte consommateur a été utilisée pour forger des jetons pour des offres d’entreprise sensibles. En 2018, Microsoft a introduit un nouveau framework fonctionnant avec les applications cloud grand public et d’entreprise. Des erreurs humaines ont empêché une interface de programmation conçue pour valider cryptographiquement l’environnement pour lequel une clé devait être utilisée, de fonctionner correctement.
Le message continuait :
Pour répondre à la demande croissante des clients en matière de prise en charge d’applications fonctionnant à la fois avec des applications grand public et d’entreprise, Microsoft a introduit un point de terminaison de publication de métadonnées clés communes en septembre 2018. Dans le cadre de cette offre convergente, Microsoft a mis à jour la documentation pour clarifier les exigences de validation de la portée clé (quelle clé est la clé). à utiliser pour les comptes d’entreprise et lesquels à utiliser pour les comptes de particuliers.
Dans le cadre d’une bibliothèque préexistante de documentation et d’API d’assistance, Microsoft a fourni une API pour aider à valider les signatures de manière cryptographique, mais n’a pas mis à jour ces bibliothèques pour effectuer automatiquement cette validation de portée (ce problème a été corrigé). Les systèmes de messagerie ont été mis à jour pour utiliser le point de terminaison de métadonnées commun en 2022. Les développeurs du système de messagerie ont supposé à tort que les bibliothèques effectuaient une validation complète et n’ont pas ajouté la validation d’émetteur/portée requise. Ainsi, le système de messagerie accepterait une demande de courrier électronique d’entreprise utilisant un jeton de sécurité signé avec la clé du consommateur (ce problème a été corrigé à l’aide des bibliothèques mises à jour).
Dans un e-mail, un représentant de Microsoft a déclaré que le compte de l’ingénieur avait été compromis à l’aide d’un « malware voleur de jetons », mais n’a pas précisé comment il avait été installé, si d’autres comptes d’entreprise étaient piratés par le même acteur malveillant, lorsque Microsoft a eu connaissance de la compromission. et quand l’entreprise a chassé les intrus.
À ces questions s’ajoutent les suivantes : une clé aussi sensible que celle acquise par Storm-0558 n’était-elle pas stockée dans un HSM (module matériel de sécurité) ? Il s’agit d’appareils dédiés qui stockent des informations importantes et sont conçus pour empêcher l’acquisition de clé de formulaire divulguée par Microsoft.
Dans l’e-mail, le représentant a déclaré que « les systèmes d’identité de l’entreprise gèrent les clés en utilisant une combinaison de protections HSM et logicielles en raison des exigences uniques d’échelle et de résilience de l’environnement cloud ». Cela n’explique toujours pas comment les attaquants ont réussi à extraire la clé d’un appareil spécialement conçu pour empêcher le vol.
Comme indiqué précédemment, Microsoft a fermement résisté à l’utilisation du mot vulnérabilité pour décrire les failles exploitées par Storm-0558 pour réaliser la brèche. Au lieu de cela, l’entreprise a utilisé le mot « problème ». Lorsqu’on lui a demandé d’expliquer quelle est la définition du « problème » donnée par Microsoft et en quoi elle diffère de la définition de la « vulnérabilité » donnée par l’entreprise, le représentant a répondu : « La vulnérabilité est un terme spécifique, et nous utiliserions le terme vulnérabilité s’il était approprié. Le « problème » dans le blog fait référence à des éléments tels qu’une mauvaise configuration, des erreurs de l’opérateur ou des sous-produits involontaires d’autres actions.
Will Dorman, analyste principal principal de la société de renseignement de sécurité Analysgence, a déclaré dans une interview en ligne :
Certains aspects pourraient être considérés comme des vulnérabilités :
—Une condition de concurrence critique a conduit à des éléments clés dans un vidage sur incident—Cela ressemble à une vulnérabilité
— “le système de messagerie accepterait une demande de courrier électronique d’entreprise à l’aide d’un jeton de sécurité signé avec la clé du consommateur” : il s’agit certainement d’une vulnérabilité
— « capable de compromettre avec succès le compte d’entreprise d’un ingénieur Microsoft » — Cela fait simplement partie de la vie dans ce monde, je suppose.
Microsoft a déclaré qu’environ 25 organisations ont vu un ou plusieurs de leurs comptes piratés au cours de la campagne, qui a débuté le 15 mai et a duré jusqu’au 16 juin. Microsoft n’était pas au courant du piratage massif jusqu’à ce qu’un client l’en informe.
Microsoft a décrit Storm-0558 comme un acteur menaçant basé en Chine dont les activités et les méthodes sont conformes aux objectifs d’espionnage. Le groupe cible un large éventail d’entités. Il s’agit notamment des organes directeurs diplomatiques, économiques et législatifs américains et européens, des individus liés aux intérêts géopolitiques de Taiwan et des Ouïghours, des sociétés de médias, des groupes de réflexion et des fournisseurs d’équipements et de services de télécommunications.
“Storm-0558 fonctionne avec un haut degré de savoir-faire technique et de sécurité opérationnelle”, a écrit Microsoft en juillet . « Les acteurs sont parfaitement conscients de l’environnement de la cible, des politiques de journalisation, des exigences d’authentification, des politiques et des procédures. L’activité d’outillage et de reconnaissance de Storm-0558 suggère que l’acteur est techniquement compétent, dispose de bonnes ressources et possède une compréhension approfondie de nombreuses techniques et applications d’authentification.
Parmi les critiques accusant Microsoft de ce qu’ils considèrent comme une négligence liée à la violation, citons un sénateur américain et un PDG de l’industrie. Ils ont critiqué à la fois les pratiques qui ont conduit au piratage et ce qu’ils ont qualifié de manque de transparence à la suite de celui-ci. La mise à jour de mercredi va un pas dans la bonne direction, mais l’entreprise a encore du travail à faire.
Source: https://arstechnica.com/security/2023/09/hack-of-a-microsoft-corporate-account-led-to-azure-breach-by-chinese-hackers/