Sommario
Microsoft ha recentemente condiviso dettagli su come un gruppo di hacker cinesi, identificato come Storm-0558, sia riuscito a rubare una chiave di sicurezza interna, utilizzandola per accedere a diversi account di posta elettronica del governo statunitense nel luglio scorso. La chiave criptografica, nota come chiave del consumatore, è stata rubata da un dump di crash di software, che avrebbe dovuto essere redatto e non includere la chiave digitale.
Modalità del furto
Nel dettaglio, nel mese di aprile 2021, a seguito di un crash del sistema che gestiva la chiave del consumatore all’interno di un ambiente isolato, è stato creato un dump di crash che conteneva una copia della chiave segreta. Questo dump è stato poi trasferito in un ambiente di debug collegato a Internet, all’interno della rete aziendale di Microsoft. Durante questo processo, i sistemi di scansione delle credenziali non hanno rilevato la chiave, permettendo così a Storm-0558 di compromettere l’account aziendale di un ingegnere Microsoft e di sottrarre la chiave digitale dallo snapshot.
Ripercussioni e interventi correttivi
Microsoft ha ammesso che sono stati commessi degli errori e ha assicurato che sono state apportate modifiche per prevenire incidenti simili in futuro. La società ha anche spiegato che la chiave del consumatore era stata utilizzata per accedere alla posta elettronica aziendale a causa di una mancanza di controlli automatici nelle librerie software, un problema che ora è stato risolto.
Dopo l’incidente, Microsoft ha concordato di fornire a tutti i clienti l’accesso gratuito ai log di sicurezza del cloud, una funzione che sarà disponibile a partire da settembre di quest’anno. Inoltre, la società ha ampliato l’accesso alla registrazione delle sicurezze, rispondendo alle critiche che limitavano l’accesso ai dati forensi solo a clienti con licenze Purview Audit (Premium).
Ulteriori scoperte
Ricerche successive condotte da Wiz, una società di sicurezza informatica, hanno indicato che la chiave compromessa potrebbe avere avuto un potere molto più grande di quanto inizialmente pensato, permettendo potenzialmente l’accesso a una gamma più ampia di servizi cloud. Tuttavia, Microsoft ha affermato di non aver trovato ulteriori prove di accessi non autorizzati a applicazioni al di fuori delle caselle di posta elettronica.
