Microsoft ha appena pubblicato nel suo blog informativo come hacker presumibilmente sostenuti da forze cinesi, sia riuscita a spiare mail di appartenenti a vari enti governativi US a luglio 2023.
La notizia della fuga dati era già stata rilasciata l’11 luglio, ma risultava totalmente oscura la maniera in cui il gruppo Storm-0558, organizzazione hacker che si ritiene sia sostenuto dalla Cina, avesse ottenuto questo genere di privilegi esfiltrando una master key consumer impiegata poi per falsificare token ed accedere quindi a determinati account di Outlook.
Le indagini sono state finalmente concluse, ed il processo , seppure non pienamente verificabile, risulta interessantissimo spunto di riflessione.
Il principio per cui un malintenzionato debba solo disporre di una singola fortunata occasione per aggirare un processo di sicurezza tra i più articolati e blindati concepiti, trova ancora una volta riscontro, e ci ricorda molto la teoria del caos, resa famosa a suo tempo da Jurassic Park.
Microsoft dichiara di aver sanato e risolto le micro-anomalie che sommate avrebbero consentito l’evento:
Qui il link al blog:
https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/
L’incidente in 6 sfortunate coincidenze:
- Aprile 2021 – un elemento del processo di firma delle chiavi di sicurezza si blocca. L’incidente genera una istantanea dei processi per l’analisi
- L’immagine include per errore una copia della master key. Il tutto viene inviato ad un ambiente protetto, dove però i sistemi non rilevano la presenza della chiave.
- L’immagine passa fuori dalla zona di quarantena in rete aziendale per ulteriori anali approfondite, la master key non viene ancora rilevata
- L’account di un ingegnere dedicato, viene in qualche modo violato e l’immagine presumibilmente esfiltrata ( questo punto è il più incerto )
- Nel 2018 Microsoft aveva inserito un sistema per agevolare la gestione crittografica di chiavi consumer e aziendali, ma le librerie relative non si erano poi aggiornate
- I sistemi di posta Microsoft hanno iniziato ad utilizzare questo strumento nel 2022, supponendo che le librerie invece fossero aggiornate e quindi seguissero i principi di convalida previsti.
La Narrazione estesa:
Nel mese di aprile 2021, un elemento essenziale nel processo di firma delle chiavi utilizzato per garantire la sicurezza degli account di posta elettronica dei consumatori si è improvvisamente bloccato. Questo incidente ha causato la creazione di un’immagine istantanea del sistema, che sarebbe stata analizzata in seguito. È importante notare che questo sistema di firma delle chiavi dei consumatori è mantenuto in un ambiente altamente isolato e protetto, in cui l’accesso a Internet è rigorosamente limitato al fine di prevenire attacchi informatici. Tuttavia, in modo del tutto inaspettato, l’immagine istantanea ha incluso involontariamente una copia della chiave di firma dei consumatori, ma questo fatto è sfuggito all’attenzione dei sistemi di sicurezza di Microsoft.
Successivamente, l’immagine istantanea è stata spostata dal suo ambiente isolato alla rete aziendale di Microsoft, che è connessa a Internet, allo scopo di eseguire un’analisi più approfondita per comprendere la causa del blocco del sistema. Microsoft ha affermato che questa operazione era in linea con il suo processo standard di debug, ma purtroppo, neppure i sistemi di scansione delle credenziali aziendali hanno rilevato la presenza della chiave nella copia dell’immagine istantanea.
Microsoft ha dichiarato che gli hacker conosciuti come Storm-0558 sono stati in grado di “compromettere con successo” l’account aziendale di un ingegnere di Microsoft che aveva accesso all’ambiente di debug in cui era stata spostata l’immagine dell’istantanea nella rete aziendale di Microsoft nel mese di aprile 2021.
In questa immagine era conservata la chiave di firma di tipo “consumer”.
Seppur premettendo che si tratti di pura supposizione, Microsoft ha indicato che questo rappresenterebbe il meccanismo più probabile attraverso il quale gli hacker abbiano acquisito la chiave.
La chiave di firma dei consumatori aveva la capacità di concedere l’accesso alle caselle di posta elettronica aziendali e personali di vari funzionari governativi e dipartimenti. Tuttavia, a causa di una mancanza di corretta validazione della chiave nei sistemi di posta elettronica di Microsoft, il sistema “accettava automaticamente richieste di firma aziendale” per le email utilizzando un token di sicurezza firmato con la chiave dei consumatori.
Questi errori a cascata hanno aperto la porta a una delle più significative violazioni di sicurezza informatica degli ultimi tempi, con conseguenze potenziali ancora sconosciute.
La violazione è stata considerata parte di una campagna di spionaggio mirato, con l’obiettivo di accedere alle comunicazioni non classificate di funzionari governativi e diplomatici statunitensi di rilievo.
Tra i presunti bersagli vi sarebbero stati la segretaria al Commercio americano, Gina Raimondo, e l’ambasciatore americano in Cina, Nicholas Burns.
Resta da vedere quali ulteriori sviluppi e conseguenze verranno alla luce in seguito a questa serie di eventi sfortunati.
La consapevolezza della costante minaccia cyber e della necessità di disporre misure di sicurezza maggiori dovrebbe diventare sempre più pressante e radicata, comprendendo che anche colossi dalle risorse tecniche ed in denaro praticamente quasi illimitate possono incorrere in problematiche di questo tipo.
#microsoft #outlookbreach #cybercrime #spy #cybersecurity #cybercrime #storm-0558
