Dans un nouvel article, Microsoft revient sur la compromission de comptes opérée par l’acteur malveillant Storm-0558, après avoir mené des investigations techniques. Voici ce que l’on sait.
Souvenez-vous en juillet dernier, Microsoft avait mis en ligne un rapport au sujet d’un groupe de cybercriminels surnommé Storm-0558 par Microsoft et qui était parvenu à pirater 25 comptes de messagerie associé à des agences gouvernementales en exploitant une faille de sécurité dans les services Cloud de l’entreprise américaine. Pour rappel, Storm-0558 est un groupe de cybercriminels associé à la Chine, spécialisé dans l’espionnage et la collecte de renseignements.
Microsoft affirme que les cybercriminels ont pu dérober une clé de signature contenue dans un « crash dump » après avoir compromis le compte professionnel d’un ingénieur de chez Microsoft. Ce dump a fait suite à un incident sur le compte d’un client Microsoft, en avril 2021, et il a été stocké sur un environnement accessible depuis Internet. Les pirates sont parvenus à récupérer ce dump et ce dernier contenait la clé de signature, même si cela n’aurait pas dû être le cas d’après Microsoft.
Dans son rapport, Microsoft précise : « Les crash dumps, qui exfiltres des informations sensibles, ne devraient pas inclure la clé de signature. Dans ce cas, une condition inattendue a permis à la clé d’être présente dans le crash dump (ce problème a été corrigé). »
Grâce à cette clé de signature MSA, les pirates ont pu construire leurs propres jetons d’authentification et ils sont parvenus à accéder aux comptes Exchange Online et Azure Active Directory (Microsoft Entra ID) d’une vingtaine d’organisations. La firme de Redmond a fait le nécessaire pour corriger cette faille de sécurité dans ses services, notamment ce problème de validation dans la fonction GetAccessTokenForResourceAPI. L’entreprise américaine a également révoqué toutes les clés de signature vulnérables.