Il gruppo di hacker cinesi ha sfruttato diversi difetti di Microsoft per accedere agli account di posta elettronica del governo degli Stati Uniti

Microsoft sta fornendo nuovi dettagli sulle tecniche utilizzate da un gruppo di hacker cinesi per infiltrarsi negli account di posta elettronica di circa 25 organizzazioni e agenzie governative, tra cui l'account del segretario al commercio degli Stati Uniti Gina Raimondo.
La nuova analisi, pubblicata venerdì, include nuove informazioni su due difetti nei sistemi e nel codice di Microsoft che, all'insaputa dell'azienda all'epoca, hanno contribuito ad aprire la porta agli hacker.
Microsoft afferma di aver risolto entrambi i problemi, bloccato efficacemente gli sforzi del gruppo per mantenere l'accesso continuo agli account e adottato misure per prevenire tali situazioni in futuro.
PRECEDENTE COPERTURAMicrosoft deve affrontare un nuovo controllo dopo che gli hacker cinesi si sono infiltrati nel governo degli Stati Uniti tramite Exchange Online Tuttavia, la società sta affrontando un crescente controllo da parte dell'amministrazione Biden sull'incidente.
Nel frattempo, il rivale di Microsoft, Google, sta sfruttando l'hack per sostenere che il governo degli Stati Uniti dovrebbe diversificare ulteriormente il proprio pool di fornitori di software per la produttività.
Microsoft afferma che sta ancora indagando su come il gruppo, che Microsoft ha soprannominato Storm-0558, abbia acquisito una chiave di firma del consumatore dell'account Microsoft (MSA) inattiva, il passaggio iniziale che ha consentito agli hacker di falsificare i token di autenticazione per accedere agli account di posta elettronica.
Ma nel frattempo, la società ha fornito nuovi dettagli su due difetti di Microsoft che ritiene siano stati sfruttati dal gruppo per fare un uso dannoso della chiave di firma del consumatore MSA una volta acquisita.
La società afferma che un "errore di convalida" nel codice Microsoft ha consentito al gruppo di falsificare i token di Azure Active Directory, normalmente utilizzati per accedere agli account governativi e aziendali, nonostante l'acquisizione di una chiave destinata agli account consumer Microsoft.
Una volta che il gruppo ha utilizzato un token contraffatto per ottenere l'accesso, è stato in grado di ottenere token di accesso aggiuntivi da un'interfaccia di programmazione dell'applicazione (API) di Outlook Web Access presentando un token precedentemente emesso dall'API "a causa di un difetto di progettazione", afferma la società .
Microsoft afferma di aver risolto questi problemi e impedito al gruppo di sfruttare ulteriormente le chiavi di firma dei consumatori acquisite.
La società afferma di aver anche "sostanzialmente rafforzato" i suoi sistemi di emissione delle chiavi MSA, incluso lo spostamento di tali sistemi in un archivio di chiavi di sicurezza più elevato utilizzato per gli account aziendali.
Oltre a far luce su queste vulnerabilità di sicurezza, l'incidente sta sollevando interrogativi sulla pratica dell'azienda di riservare alcune funzionalità avanzate di monitoraggio della sicurezza per i livelli di Microsoft 365 più costosi.
Un'agenzia del Federal Civilian Executive Branch ha scoperto l'attacco dopo aver rilevato attività insolite in un tipo di registro di controllo disponibile solo nel livello superiore di Microsoft 365.
Un alto funzionario della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha dichiarato questa settimana ai giornalisti che tutte le organizzazioni dovrebbero avere accesso a queste funzionalità.
Microsoft ha segnalato la volontà di cambiare il suo approccio.
"Storicamente abbiamo fornito registri di sicurezza ai clienti con opzioni per mantenere i registri tramite i servizi di archiviazione di Microsoft o con altri fornitori di sicurezza e archiviazione in base alle loro preferenze", ha affermato un portavoce di Microsoft in una dichiarazione inviata tramite e-mail questa settimana.
“Stiamo valutando il feedback e siamo aperti ad altri modelli.
Siamo attivamente impegnati con CISA e altre agenzie su questo”.