La comedia de los errores que permitieron a los piratas informáticos respaldados por China robar la clave de firma de Microsoft – MundoDaily

Microsoft dijo en En junio, un grupo de piratas informáticos respaldados por China robó una clave criptográfica de los sistemas de la empresa. Esta clave permitió a los atacantes acceder a sistemas de correo electrónico Outlook basados ​​en la nube para 25 organizaciones, incluidas varias agencias gubernamentales de EE. UU. Sin embargo, en el momento de la divulgación, Microsoft no explicó cómo los piratas informáticos pudieron comprometer una clave tan sensible y altamente protegida, o cómo pudieron usar la clave para moverse entre sistemas de nivel empresarial y de consumo. Pero uno nueva autopsia publicado por la empresa el miércoles explica una cadena de deslices y descuidos que permitieron el improbable ataque.

Estas claves criptográficas son importantes en la infraestructura de la nube porque se utilizan para generar «tokens» de autenticación que prueban la identidad de un usuario para acceder a datos y servicios. Microsoft afirma que almacena estas claves confidenciales en un «entorno de producción» aislado con acceso estrictamente controlado. Pero durante una falla específica del sistema en abril de 2021, la clave en cuestión fue un polizón incidental en un caché de datos que abandonó la zona protegida.

«Todos los mejores hacks son muertes por 1.000 cortes de papel, no algo en lo que se explota una sola vulnerabilidad y luego se obtienen todos los beneficios», dice Jake Williams, un ex hacker de la Agencia de Seguridad Nacional de EE. UU. que ahora forma parte de la facultad del Instituto. para Seguridad de Red Aplicada.

Después del fatídico fallo de un sistema de firma de los consumidores, la clave criptográfica acabó en un “volcado de memoria” generado automáticamente con datos sobre lo sucedido. Los sistemas de Microsoft están diseñados para que las claves de firma y otros datos confidenciales no terminen en volcados de memoria, pero esta clave se escapó debido a un error. Peor aún, los sistemas diseñados para detectar datos erróneos en volcados de memoria no lograron indicar la clave criptográfica.

Una vez que el volcado de memoria aparentemente fue examinado y limpiado, se trasladó del entorno de producción a un “entorno de depuración” de Microsoft, una especie de área de clasificación y revisión conectada a la red corporativa habitual de la empresa. Pero una vez más, un análisis diseñado para detectar la inclusión accidental de credenciales no logró detectar la presencia de la clave en los datos.

Tiempo después de que todo esto sucediera, en abril de 2021, el grupo de espías chino, al que Microsoft llama Storm-0558, comprometió la cuenta corporativa de un ingeniero de Microsoft. Con esta cuenta, los atacantes podían acceder al entorno de depuración donde se almacenaban el desafortunado volcado de memoria y la clave. Microsoft dice que no tiene más registros de ese momento que muestren directamente que la cuenta comprometida se filtró del volcado de memoria, «pero este fue el mecanismo más probable por el cual el actor adquirió la clave». Armados con este descubrimiento crucial, los atacantes pudieron comenzar a generar tokens de acceso a cuentas de Microsoft legítimos.

Otra pregunta sin respuesta sobre el incidente fue cómo los atacantes utilizaron una clave criptográfica del registro de fallas de un sistema de firma de consumidores para infiltrarse en las cuentas de correo electrónico corporativas de organizaciones como agencias gubernamentales. Microsoft dijo el miércoles que esto fue posible debido a una falla relacionada con una interfaz de programación de aplicaciones que la compañía proporcionó para ayudar a los sistemas de los clientes a validar firmas criptográficamente. La API no se ha actualizado completamente con bibliotecas que validarían si un sistema debería aceptar tokens firmados con claves de consumidor o claves corporativas y, como resultado, se podría engañar a muchos sistemas para que acepten cualquiera de las dos.