A Microsoft publicou uma autópsia detalhando vários erros que levaram ciberespiões chineses a invadir e-mails do governo dos EUA, atribuindo o embaraçoso incidente a um despejo de memória roubado da conta corporativa de um engenheiro hackeado.
O despejo de memória, que datava de abril de 2021, continha uma chave de consumidor de conta da Microsoft (MSA) que foi usada para falsificar tokens para invadir contas do OWA e do Outlook.com.
“Nossa investigação descobriu que uma falha no sistema de assinatura do consumidor em abril de 2021 resultou em um instantâneo do processo travado (“crash dump”). Os despejos de memória, que editam informações confidenciais, não devem incluir a chave de assinatura. Neste caso, uma condição de corrida permitiu que a chave estivesse presente no crash dump”, explicou a Microsoft.
A gigante do software disse que o problema da condição de corrida já foi corrigido.
Redmond também reconheceu uma falha em seus sistemas internos para detectar segredos confidenciais vazando de despejos de memória. “A presença do material chave no crash dump não foi detectada pelos nossos sistemas (este problema foi corrigido)”, disse a empresa.
A empresa disse que o crash dump de 2021 com chave de assinatura foi posteriormente movido da rede de produção isolada para seu ambiente de depuração na rede corporativa conectada à Internet.
Embora isso seja consistente com os processos de depuração padrão da Microsoft, a Microsoft confessou outro erro em que seus métodos de verificação de credenciais não detectaram a presença da chave.
“Depois de abril de 2021, quando a chave vazou para o ambiente corporativo no crash dump, o ator Storm-0558 conseguiu comprometer com sucesso a conta corporativa de um engenheiro da Microsoft. Esta conta teve acesso ao ambiente de depuração contendo o despejo de memória que continha incorretamente a chave,” a empresa explicou.
Numa reviravolta surpreendente, a Microsoft disse que devido às políticas de retenção de registos, não possui registos com provas específicas desta exfiltração por este ator, observando que a autópsia é baseada “no mecanismo mais provável pelo qual o ator adquiriu a chave .”
A admissão da Microsoft de que não retém registros para detectar esse tipo de atividade segue intensas críticas à estrutura de licenciamento do M365, que essencialmente cobra extra para os clientes acessarem dados forenses durante investigações ativas de malware.
Desde então, a Microsoft anunciou planos para aumentar a duração da retenção de dados de caça a ameaças.
O compromisso, que levou ao roubo de e-mails de aproximadamente 25 organizações, gerou uma carta contundente do senador norte-americano Ron Wyden, pedindo ao governo que responsabilizasse a Microsoft por “práticas negligentes de segurança cibernética” que permitiram “uma campanha de espionagem chinesa bem-sucedida contra os Estados Unidos”. governo.”
No mês passado, o governo dos EUA disse que seu Conselho de Revisão de Segurança Cibernética (CSRB) conduziria uma avaliação e expandiria para “questões relacionadas à identidade baseada em nuvem e infraestrutura de autenticação que afetam os CSPs aplicáveis e seus clientes”.
