Исследователи подозревают, что хакеры электронной почты Microsoft из Китая имели доступ к другим файлам

Исследователи из компании Wiz, занимающейся облачной безопасностью, изучили метод, описанный Microsoft, и пришли к выводу, что любой, у кого есть ключ подписи, мог расширить свой доступ и войти в другие широко используемые облачные предложения Microsoft, включая SharePoint, Teams и OneDrive.

«Скомпрометированный ключ MSA мог позволить субъекту угрозы подделать токены доступа для нескольких типов приложений Azure Active Directory, включая каждое приложение, поддерживающее проверку подлинности с помощью личной учетной записи», включая клиентские приложения, которые предлагают возможность «войти в Microsoft», — сказал Виз в своем отчете. Сообщение блога детализируя свои выводы.

Microsoft отозвала ключ, поэтому его нельзя использовать в новых атаках. Но Wiz сказал, что злоумышленники могли оставить лазейки в приложениях, которые позволили бы им вернуться, и сказал, что некоторые программы все еще распознают сеанс, начатый ключом с истекшим сроком действия.

Microsoft преуменьшила вероятность того, что злоумышленники вышли за пределы учетных записей электронной почты целей, среди которых были министр торговли Джина Раймондо и посол США в Китае Николас Бернс.

«Многие утверждения, сделанные в этом блоге, являются спекулятивными и не основанными на фактах», — сказал Джефф Джонс, представитель Microsoft.

Агентство кибербезопасности и безопасности инфраструктуры, ответственное подразделение Министерства внутренней безопасности защищая гражданские подразделения правительства, заявила, что не видит причин полагать, что нападавшие решили пойти дальше электронной почты.

«Имеющаяся информация указывает на то, что эта активность была ограничена определенным количеством целевых учетных записей электронной почты Microsoft Exchange Online. Мы продолжаем тесно сотрудничать с Microsoft, поскольку их расследование продолжается», — сказал Эрик Гольдштейн, исполнительный помощник директора по кибербезопасности в CISA.

Считается, что секретная информация не была получена. Microsoft заявила, что может видеть каждый раз, когда использовался пиратский ключ, и что пострадало всего около двух десятков организаций по всему миру.

Компания впервые была предупреждена об атаках со стороны Государственного департамента, который обнаружил вторжение, когда просматривал журналы активности, которые Microsoft начала предоставлять государственным клиентам после того, как ее облачные сервисы были скомпрометированы в результате взлома SolarWinds в 2020 году. После последнего взлома Microsoft заявила, что начнет бесплатно предоставлять множество типов журналов и частным клиентам.

Microsoft приписала атаку китайской группе, подробно описала многие из их методов и рассказала клиентам, как искать признаки того, что они были взломаны. Но он все еще расследует, как ключ подписи попал в сеть.

Если Microsoft ошибается в отношении пределов атаки, «это кошмарный сценарий для тех, кто оценивает последствия», — сказал бывший аналитик Агентства национальной безопасности Джейк Уильямс. написал в Твиттере. Он сказал, что будет трудно сказать, какие приложения, позволяющие входить в систему Microsoft, были уязвимы, и не все из них предоставляют журналы.

Хуже того, он сказал, что теперь у злоумышленников не будет причин пытаться везде взломать аннулированный ключ, потому что не все приложения начнут его блокировать.

«Если бы я был злоумышленником, я бы ехал на этом ныне отозванном ключе, как на арендованном муле, пытаясь понять, где я могу получить ЛЮБУЮ выгоду от него», — написал Уильямс.

Полученные данные подчеркнули хрупкость облачных систем, которые лежат в основе растущей доли программных операций.