Resultados de la investigación técnica sobre la adquisición de claves para Storm-0558

 (msrc.microsoft.com)
1 puntos por GN⁺ 2023-09-07 | 1 comentarios | Compartir por WhatsApp
  • El artículo analiza los resultados de la investigación técnica de Microsoft sobre cómo Storm-0558, un actor de amenazas con base en China, obtuvo una clave de consumidor de una cuenta de Microsoft (MSA), falsificó tokens y accedió a OWA y Outlook.com.
  • Microsoft mantiene un entorno de producción altamente seguro y aislado para controlar el acceso de los empleados, lo que incluye verificaciones de antecedentes, cuentas dedicadas, estaciones de trabajo de acceso seguro y autenticación multifactor mediante dispositivos de token de hardware.
  • En abril de 2021 ocurrió una falla del sistema que generó una instantánea del proceso de bloqueo, la cual, debido a una condición de carrera, terminó incluyendo una clave de firma. Este problema fue corregido posteriormente.
  • Los volcados de fallo, que se creía que no contenían material de claves, se trasladaron desde la red de producción aislada al entorno de depuración de la red corporativa con conexión a Internet, siguiendo el proceso estándar de depuración.
  • El actor Storm-0558 logró comprometer la cuenta corporativa de un ingeniero de Microsoft que tenía acceso al entorno de depuración donde se encontraba el volcado de fallo con la clave incluida.
  • La clave de consumidor pudo usarse para acceder al correo corporativo debido a un endpoint común de publicación de metadatos de claves introducido en septiembre de 2018. Este se creó para dar soporte a aplicaciones que funcionan tanto con aplicaciones de consumidor como empresariales.
  • Los desarrolladores del sistema de correo asumieron erróneamente que la biblioteca realizaba una validación completa y no añadieron la validación necesaria de emisor/alcance, por lo que el sistema de correo aceptó solicitudes de correo corporativo usando tokens de seguridad firmados con una clave de consumidor. Este problema fue corregido.
  • Microsoft sigue reforzando continuamente sus sistemas como parte de una estrategia de defensa en profundidad. Las mejoras específicas derivadas de estos hallazgos incluyen resolver la condición de carrera que permitía que los volcados de fallo incluyeran claves de firma, fortalecer la prevención, detección y respuesta ante material de claves incluido por error en volcados de fallo, mejorar el escaneo de credenciales para detectar mejor la presencia de claves de firma en entornos de depuración y lanzar una biblioteca reforzada que automatiza la validación del alcance de las claves en la biblioteca de autenticación.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-07
Opiniones en Hacker News
  • Artículo sobre una falla crítica en la obtención de la clave de Storm-0558
  • Falla causada por un resultado inesperado derivado de una condición de carrera poco común
  • La clave comprometida era antigua y solo debería haber dado acceso a cuentas de correo de consumidores, pero debido a un bug también se permitió el acceso a cuentas de correo empresariales
  • El artículo sugiere que el atacante tenía un conocimiento profundo de la infraestructura interna de Microsoft
  • Preocupación por la cronología de la intrusión, con sospechas de que las credenciales estuvieron comprometidas durante más de 2 años antes de ser detectadas y reveladas
  • No se reveló la cantidad de tokens falsificados ni el alcance de los datos a los que se accedió, lo que plantea dudas sobre la gravedad de la intrusión
  • El artículo enfatiza la necesidad de rotar las claves con frecuencia para prevenir este tipo de intrusiones
  • El hecho de que la clave no estuviera almacenada en hardware irrecuperable y pudiera usarse desde un proceso normal de servidor sugiere una posible falla de seguridad
  • Críticas por la ausencia de uso de módulos de seguridad de hardware (HSMs) para evitar la filtración del material de las claves
  • El artículo señala que en la sección de validación de tokens de acceso de Microsoft no se menciona la fecha del emisor ni la verificación de revocación
  • Incertidumbre sobre si durante la intrusión se eludió la autenticación de dos factores u otros métodos adicionales de autenticación
  • El artículo termina con la pregunta de si hubo algún volcado conocido del que se extrajeran correos electrónicos durante el ataque