Ataque aos sistemas da Microsoft pode ter sido mais grave que o previsto

Um grupo de hackers sediado na China encontra-se a usar chaves roubadas da Azure Active Directory para aceder a dados sensíveis de centenas de empresas a nível global, sendo que o acesso pode ter partido de uma chave privada roubada dos sistemas da Microsoft.

No passado dia 12 de Julho, a Microsoft confirmou que um grupo de hackers obteve acesso a contas do Exchange Online e Azure Active Directory (AD) de dezenas de organizações. Isto estaria a ser realizado pela exploração de uma falha na GetAccessTokenForResourceAPI da empresa, que permitia criar chaves falsas como se tivessem sido criadas pelas empresas, garantindo assim aos atacantes acesso a dados sensíveis.

Este ataque terá sido explorado para roubar informações de várias contas nos sistemas da empresa, incluindo de organizações associadas a governos mundiais.

No entanto, a escala do ataque pode ser consideravelmente mais grave do que o inicialmente previsto. De acordo com o investigador de segurança da empresa Wiz, Shir Tamari, os atacantes podem ter conseguido explorar uma falha que permitia comprometer todos os tokens criados com o OpenID v2.0 da Microsoft, porque os atacantes teriam conseguido obter acesso a uma chave privada da empresa para este fim.

Apesar de a Microsoft afirmar que apenas os serviços Exchange Online e o Outlook foram afetados, os investigadores apontam agora que os atacantes podem ter comprometido praticamente qualquer cliente e aplicação da Microsoft que se encontra baseada na nuvem.

Outlook, SharePoint, OneDrive e Teams são alguns dos exemplos de aplicações que podem ter sido comprometidas como parte deste ataque, e onde podem existir mais contas, até pessoais, afetadas.

Face ao problema, a Microsoft terá revogado todas as chaves criadas neste formato, o que aparenta ter resolvido a situação dos acessos indevidos. No entanto, a empresa também terminou a semana a indicar desconhecer como os atacantes obtiveram acesso iniciar às chaves da Azure AD.