Atacantes roubaram chave privada da Microsoft de um dump de crash do Windows
A Microsoft confirmou que o grupo Storm-0558, reconhecido com ligações na China, terão roubado uma chave privada de contas de entidades governamentais, depois de terem comprometido uma conta de um engenheiro da empresa. A chave terá sido obtida de um dump de informação de crash do Windows no sistema comprometido.
Esta chave terá sido depois usada para aceder aos serviços de Exchange Online e Azure Active Directory (AD) de aproximadamente duas dezenas de organizações, incluindo entidades governamentais dos EUA.
Em análise do incidente, a Microsoft afirma que a chave privada foi colocada no dump de um crash que tinha ocorrido em Abril de 2021. O dump não deveria conter a chave privada, mas devido a uma falha no sistema isso permitiu que a chave fosse colocada no mesmo inadvertidamente.
Este dump foi, mais tarde, movido da rede interna da empresa para um sistema onde estaria com acesso externo permitido – e que terá facilitado o acesso de terceiros para o ataque. Os atacantes obtiveram, eventualmente, acesso ao sistema onde o dump se encontrava, e do qual recolheram a chave.
Apesar de a empresa não ter dados sobre como a chave foi recolhida, tendo em conta que os logs foram, entretanto, eliminados, a empresa acredita que o grupo de hackers terá usado ferramentas automáticas para realizar o scan por chaves privadas e obter as mesmas do sistema comprometido.
O incidente tinha sido inicialmente referido pela Microsoft em Julho, sendo que a empresa alega que apenas o Exchange Online e Outlook foram comprometidos. No entanto, de acordo com o investigador de segurança Shir Tamari, a investigação do caso leva a crer que os atacantes podem ter obtido acesso a praticamente todos os serviços da Microsoft associados com as entidades afetadas. Isto inclui plataformas como o Outlook, SharePoint, OneDrive e Microsoft Teams.
A Microsoft afirma que todas as chaves comprometidas foram revogadas, e os sistemas revistos para prevenir que os atacantes possam criar novas chaves e obter novamente acesso.