Marcos Souza 
A Microsoft disse na sexta-feira que um erro de validação em seu código-fonte permitiu que os tokens do Azure Active Directory (Azure AD) fossem forjados por um agente mal-intencionado conhecido como Storm-0558 usando uma chave de assinatura de consumidor da conta Microsoft (MSA) para violar duas dúzias de organizações.
“O Storm-0558 adquiriu uma chave de assinatura inativa do consumidor MSA e a usou para forjar tokens de autenticação para o Azure AD enterprise e o consumidor MSA para acessar o OWA e o Outlook.com”, disse a gigante da tecnologia em uma análise mais profunda da campanha. “O método pelo qual o ator adquiriu a chave é uma questão de investigação em andamento”.
“Embora a chave fosse destinada apenas a contas MSA, um problema de validação permitiu que essa chave fosse confiável para assinar tokens do Azure AD. Esse problema foi corrigido.”
Não está imediatamente claro se o problema de validação de tokens foi explorado como uma “vulnerabilidade de dia zero” ou se a Microsoft já estava ciente do problema antes que ele fosse alvo de abusos em massa.
Empresas governamentais e privadas foram alvos do hacker
Os ataques escolheram aproximadamente 25 organizações, incluindo entidades governamentais e contas de consumidores associadas, para obter acesso não autorizado a e-mails e exfiltrar dados de caixas de correio. Nenhum outro ambiente teria sido afetado.
Storm-0558 pode ser um agende chines.
A empresa foi informada sobre o incidente depois que o Departamento de Estado dos EUA detectou uma atividade anômala de e-mail relacionada ao acesso aos dados do Exchange Online. Suspeita-se que o Storm-0558 seja um agente de ameaças baseado na China que realiza atividades cibernéticas maliciosas consistentes com espionagem, embora a China tenha refutado as alegações.
Os principais alvos da equipe de hackers incluem órgãos governamentais diplomáticos, econômicos e legislativos dos EUA e da Europa e indivíduos ligados aos interesses geopolíticos de Taiwan e Uyghur, bem como empresas de mídia, think tanks e fornecedores de equipamentos e serviços de telecomunicações.
Diz-se que ele está ativo desde pelo menos agosto de 2021, orquestrando a coleta de credenciais, campanhas de phishing e ataques de token OAuth direcionados a contas da Microsoft para atingir seus objetivos.
Hacker Storm-0558 possui alto conhecimento.
“O Storm-0558 opera com um alto grau de habilidade técnica e segurança operacional”, disse a Microsoft, descrevendo-o como tecnicamente competente, com bons recursos e com um conhecimento profundo de várias técnicas e aplicativos de autenticação.
“Os agentes estão bem cientes do ambiente, das políticas de registro, dos requisitos de autenticação, das políticas e dos procedimentos do alvo.”
O acesso inicial às redes-alvo é realizado por meio de phishing e exploração de falhas de segurança em aplicativos voltados para o público, levando à implantação do shell da Web China Chopper para acesso backdoor e uma ferramenta chamada Cigril para facilitar o roubo de credenciais.
O Storm-0558 também emprega scripts PowerShell e Python para extrair dados de e-mail, como anexos, informações de pastas e conversas inteiras, usando chamadas de API do Outlook Web Access (OWA).
Microsoft notificou empresas afetadas.
A Microsoft disse que desde a descoberta da campanha em 16 de junho de 2023, ela “identificou a causa raiz, estabeleceu um rastreamento duradouro da campanha, interrompeu atividades maliciosas, fortaleceu o ambiente, notificou todos os clientes afetados e coordenou com várias entidades governamentais”. A empresa também observou que mitigou o problema “em nome dos clientes” a partir de 26 de junho de 2023.
O escopo exato da violação ainda não está claro, mas é o exemplo mais recente de um agente de ameaças baseado na China que conduziu ataques cibernéticos em busca de informações confidenciais e realizou um golpe de inteligência furtivo sem atrair nenhuma atenção por pelo menos um mês antes de ser descoberto em junho de 2023.
Microsoft sofre criticas por tornar premium diversos recursos de segurança.
A revelação ocorre no momento em que a Microsoft enfrenta críticas por sua forma de lidar com o hack e por bloquear os recursos forenses por meio de barreiras de licenciamento adicionais, impedindo assim que os clientes acessem registros de auditoria detalhados que poderiam ter ajudado a analisar o incidente.
“Cobrar das pessoas por recursos premium necessários para não serem hackeadas é como vender um carro e depois cobrar mais pelos cintos de segurança e airbags”, disse o senador americano Ron Wyden.
O desenvolvimento também chega no momento em que o Comitê de Inteligência e Segurança do Parlamento do Reino Unido (ISC) publicou um relatório detalhado sobre a China, destacando sua “capacidade de espionagem cibernética altamente eficaz” e sua capacidade de penetrar em uma ampla gama de sistemas de TI de governos estrangeiros e do setor privado.
