Toen de Chinese hackersgroep Storm-0558 een belangrijke Microsoft-key bemachtigde, had men volgens Microsoft toegang verkregen tot Exchange Online- en Outlook-accounts. Securitybedrijf Wiz constateert echter dat de hackers veel meer diensten binnen konden komen met de gestolen verificatiemethode.
De Chinese hackers wisten een zero-day kwetsbaarheid in de GetAccessTokenForResourceAPI te exploiteren, waardoor men in de mails kon kijken van onder andere Amerikaanse en West-Europese politici.
Het bleef hier volgens Wiz niet bij. Alle Azure Active Directory-applicaties die op OpenID 2.0 draaiden, waren blootgesteld aan de exploitatie. Het ging volgens Wiz-onderzoeker Shir Tamari dus ook om OneDrive, Teams en alle applicaties die verificatie via een Microsoft Account ondersteunden, zoals Skype en Xbox.
Krachtigste geheimen
“Een aanvaller met een AAD-signing key is de krachtigste aanvaller die je je kunt voorstellen, want ze kunnen bijna elke app in – als welke gebruiker dan ook. Dit is de ultieme ‘shape shifter’-superkracht voor cyberinlichtingen.”
De reden dat het ontfutselen van de Microsoft-keys zoveel betekenis heeft, is omdat dergelijke signing keys niet een sleutel zijn an sich, maar de slotenmaker representeren. Door deze informatie te verkrijgen, kan men elke login vervalsen die binnen een bepaald domein valt. Hetzelfde geldt voor de equivalenten binnen het Google-ecosysteem, bij Meta of welke andere provider dan ook, aldus Wiz.
Maar hoe?
Wiz gebruikte het internetarchief Wayback Machine om terug in de tijd te kijken, waaruit bleek dat een van de zeven public keys online beschikbaar was. Deze keys gebruikt Microsoft om accounts te verifiëren. Microsoft verving deze key ergens tussen 27 juni en 5 juli van dit jaar, toen de techgigant de acties van de Chinese hackers in de smiezen had gekregen.
Echter wist Storm-0558 naast deze public key ook een MSA private key te bemachtigen waar Azure Active Directory mee beveiligd is. Doordat Microsoft niet wist dat deze key gestolen was, konden de hackers het Azure-identiteitsplatform inzetten om access tokens te genereren. Hoe men hier precies toegang toe verkreeg, blijft vooralsnog onduidelijk.
Sindsdien heeft Microsoft alle huidige MSA-signing keys ingetrokken en nieuwe gegenereerd. Daarnaast heeft het bedrijf uit Redmond inmiddels gezien dat Storm-0558 zich anders aan het gedragen is, dat duidt op het einde van de vrije toegang die de groep had.
Meer zicht op logging
Een ander, minstens net zo zorgwekkend probleem was dat de detectiemogelijkheden voor klanten aanzienlijk beperkt werden door Microsoft. Dit omdat alleen Purview Audit Premium-klanten genoeg cloud logging-data konden inzien om een dergelijk incident op te sporen. Immers is het compromitteren van een account veel problematischer als men er ook nog eens geen weet van heeft.
Inmiddels heeft druk vanuit CISA ervoor gezorgd dat Microsoft de logging-capaciteiten nu gratis aanbiedt. Een aanzienlijke verbetering omdat het niet alleen organisaties verder beschermt, maar ook het aantal meldingen bij Microsoft een stuk hoger zal liggen. Daarnaast zal de extra toegang tot deze logs ervoor zorgen dat organisaties services kunnen instellen die deze gegevens doorspitten op verdacht gedrag, dat de reactiesnelheid nog hoger zal maken.
De grote vraag blijft hoe de hackers precies toegang hebben kunnen krijgen tot de key. Vooralsnog is het eveneens moeilijk om in te schatten hoe groot de schade precies is voor organisaties, weet Tamari.
Lees ook: MOVEit-aanval treft ook TomTom en ING, impact te vaak onduidelijk
16 uur geleden
