Китайский хакер подделал токены аутентификации для доступа к правительственной электронной почте: Microsoft

Злоумышленник из Китая смог получить доступ к облачным учетным записям электронной почты Microsoft примерно 25 организаций, включая государственные учреждения, а также к соответствующим учетным записям потребителей лиц, которые, вероятно, связаны с этими организациями, путем подделки токенов аутентификации для доступа к электронной почте пользователей. предупредил.

Как именно, не сообщается, но группа, которую Microsoft называет Storm-0558, приобрела ключ подписи потребителя учетной записи Microsoft (MSA). Затем в течение нескольких недель, начиная с 15 мая, он взломал Outlook Web Access (OWA) в учетных записях Exchange Online и Outlook.com.

Во вторник Microsoft заявила в своем отчете, что, получив уведомление о подозрительной активности в июне, она заблокировала Storm-0558 от доступа к электронной почте клиентов с использованием поддельных токенов аутентификации. Компания связалась со всеми пострадавшими или скомпрометированными организациями напрямую через администраторов их арендаторов и предоставила им важную информацию, чтобы помочь им провести расследование и отреагировать. Если с вами до сих пор не связались, ваша организация не пострадала.

Предупреждение Microsoft прозвучало в тот же день, когда Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выпустило бюллетень по кибербезопасности, в котором говорится, что неназванные субъекты продвинутой постоянной угрозы (APT) получили доступ к несекретным данным Exchange Online Outlook из неназванного федерального гражданского агентства исполнительной власти и извлекли их.

В отчете CISA говорится, что неназванный участник APT получил доступ и извлек несекретные данные Exchange Online Outlook из небольшого числа учетных записей, используя потребительский ключ учетной записи Microsoft (MSA). В отчете CISA говорится, что он использовался для подделки токенов, чтобы выдавать себя за обычных и корпоративных пользователей. Microsoft устранила проблему, сначала заблокировав токены, выпущенные с помощью полученного ключа, а затем заменив ключ, чтобы предотвратить дальнейшее неправильное использование.

Microsoft сообщила в своем отчете, что банда использовала полученный ключ MSA для подделки токенов для доступа к OWA и Outlook.com. Ключи MSA (потребительские) и ключи Azure AD (корпоративные) выдаются и управляются из отдельных систем и должны быть действительны только для соответствующих систем. Но банда смогла использовать проблему проверки токена, чтобы выдавать себя за пользователей Azure AD и получать доступ к корпоративной почте.

«У нас нет указаний на то, что ключи Azure AD или любые другие ключи MSA использовались этим субъектом», — заявили в Microsoft. «OWA и Outlook.com — единственные службы, в которых мы наблюдали, как субъект использует токены, подделанные с помощью полученного ключа MSA».

CISA и ФБР настоятельно рекомендуют критически важным инфраструктурным организациям включить ведение журнала аудита, который зафиксировал это событие. Федеральные агентства обязаны это сделать.

Кроме того, CISA говорит, что организации должны

• включить ведение журнала Purview Audit (Premium). Это ведение журнала требует лицензирования на уровне G5/E5. Дополнительную информацию см. в руководстве Microsoft по назначению лицензий Microsoft 365 пользователям;
• обеспечить возможность поиска по журналам операторами. Соответствующие журналы должны быть доступны оперативным группам на платформе (например, в центре управления безопасностью). [SOC] инструменты), которые позволяют отслеживать эту активность и отличать ее от ожидаемого поведения в среде;
• включить ведение журнала единого аудита Microsoft 365 (UAL). UAL должен быть включен по умолчанию, но организациям рекомендуется проверить эти настройки;
• понять базовый уровень облачных технологий вашей организации. Организациям рекомендуется искать выбросы и знакомиться с базовыми шаблонами, чтобы лучше понимать аномальный и нормальный трафик.