Os pesquisadores da startup de segurança em nuvem Wiz têm um aviso urgente para as organizações que executam a plataforma M365 da Microsoft: Essa chave de assinatura empresarial roubada do Microsoft Azure AD deu aos hackers chineses acesso a dados além do Exchange Online e do Outlook.com.
“Nossos pesquisadores concluíram que a chave MSA comprometida poderia ter permitido que o agente da ameaça forjasse tokens de acesso para vários tipos de aplicativos do Azure Active Directory, incluindo todos os aplicativos que suportam autenticação de conta pessoal, como SharePoint, Teams, OneDrive”, disse Shir Tamari, pesquisador da Wiz, em um relatório. documento publicado on-line.
Tamari disse que os hackers também podem ter acessado aplicativos de clientes da Microsoft que oferecem suporte à funcionalidade “login with Microsoft” e aplicativos multilocatários em determinadas condições.
Quando a Microsoft reconheceu o hack e a chave MSA roubadaa gigante do software disse que o Outlook.com e o Exchange Online foram os únicos aplicativos conhecidos por terem sido afetados pela técnica de falsificação de token, mas uma nova pesquisa mostra que “esse incidente parece ter um escopo mais amplo do que se supunha originalmente”.
“A Wiz Research descobriu que a chave de assinatura comprometida era mais poderosa do que parecia e não se limitava apenas a esses dois serviços”, disse a empresa em um documento que fornece evidências técnicas de que a chave MSA roubada poderia ter sido usada para forjar tokens de acesso, aplicativos Azure Active Directory, SharePoint, Microsoft Teams e Microsoft OneDrive.
“As organizações que usam os serviços da Microsoft e do Azure devem tomar medidas para avaliar o impacto potencial [beyond email]”, disse Tamari.
A pesquisa do Wiz segue a notícia de que hackers chineses foram pegos falsificando tokens de autenticação usando uma chave de assinatura corporativa roubada do Azure AD para invadir caixas de entrada de e-mail do M365. A invasão, que levou ao roubo de e-mail de aproximadamente 25 organizaçõestornou-se um embaraço ainda maior quando os clientes reclamaram que não tinham visibilidade para investigar porque não estavam pagando pela licença E5/G5 de alto nível.
No início desta semana, a Microsoft cedeu à pressão do público e anunciou que liberaria o acesso aos logs de segurança na nuvem e expandiria os padrões de log para clientes M365 de nível inferior para ajudar na análise forense pós-incidente.
No entanto, Tamari, da Wiz, está alertando que pode ser difícil para os clientes de Redmond detectar o uso de tokens forjados em seus aplicativos devido à falta de logs em campos cruciais relacionados ao processo de verificação de token.
Embora a Microsoft tenha revogado a chave comprometida, o que significa que os aplicativos do Azure Active Directory não aceitarão mais tokens forjados como tokens válidos, Tamari diz que alguns problemas permanecem.
“Tokens com datas de validade estendidas também serão rejeitados por esses aplicativos. No entanto, durante sessões previamente estabelecidas com aplicativos de clientes antes da revogação, o ator mal-intencionado pode ter aproveitado seu acesso para estabelecer persistência. Isso pode ter ocorrido aproveitando as permissões de aplicativos obtidas para emitir chaves de acesso específicas de aplicativos ou configurando backdoors específicos de aplicativos”, acrescentou.
“Acreditamos que este evento terá implicações duradouras em nossa confiança na nuvem e nos principais componentes que a suportam”, disse Wiz, observando que é muito difícil determinar a extensão total do incidente.
“Havia milhões de aplicativos que eram potencialmente vulneráveis, tanto aplicativos da Microsoft quanto aplicativos de clientes, e a maioria deles carece de registros suficientes para determinar se foram comprometidos ou não”, acrescentou a empresa.
O Tamari da Wiz está recomendando que os clientes da Microsoft atualizem com urgência as implantações do SDK do Azure para a versão mais recente e garantam que o cache do aplicativo seja atualizado para reduzir o risco de um agente de ameaça usar a chave comprometida.