Kunci penandatanganan konsumen Microsoft yang dicuri oleh peretas Storm-0558 Cina memberi mereka akses jauh melampaui akun Exchange Online dan Outlook.com yang menurut Redmond telah disusupi, menurut peneliti keamanan Wiz.
Redmond terungkap pada 12 Juli penyerang telah meretas akun Exchange Online dan Azure Active Directory (AD) dari sekitar dua lusin organisasi. Hal ini dicapai dengan mengeksploitasi masalah validasi zero-day yang sekarang ditambal di GetAccessTokenForResourceAPI, yang memungkinkan mereka memalsukan token akses bertanda tangan dan meniru akun dalam organisasi yang ditargetkan.
Entitas yang terpengaruh termasuk lembaga pemerintah di wilayah AS dan Eropa Barat, dengan Departemen Negara Bagian dan Perdagangan AS diantara mereka.
Pada hari Jumat, peneliti keamanan Wiz Shir Tamari dikatakan bahwa dampak meluas ke semua aplikasi Azure AD yang beroperasi dengan Microsoft OpenID v2.0. Hal ini disebabkan kemampuan kunci yang dicuri untuk menandatangani token akses OpenID v2.0 apa pun untuk akun pribadi (misalnya, Xbox, Skype) dan aplikasi AAD multi-penyewa.
Microsoft mengklarifikasi setelah penerbitan artikel ini bahwa itu hanya memengaruhi mereka yang menerima akun pribadi dan memiliki kesalahan validasi.
Sementara Microsoft mengatakan bahwa hanya Exchange Online dan Outlook yang terpengaruh, Wiz mengatakan pelaku ancaman dapat menggunakan kunci penandatanganan konsumen Microsoft yang disusupi untuk menyamar sebagai akun apa pun dalam pelanggan yang terkena dampak atau aplikasi Microsoft berbasis cloud.
“Ini termasuk aplikasi Microsoft yang dikelola, seperti Outlook, SharePoint, OneDrive, dan Teams, serta aplikasi pelanggan yang mendukung otentikasi Akun Microsoft, termasuk yang memungkinkan fungsi ‘Login with Microsoft’,” kata Tamari.
“Segala sesuatu di dunia Microsoft memanfaatkan token autentikasi Azure Active Directory untuk akses,” kata CTO Wiz dan Salah Satu Pendiri Ami Luttwak kepada BleepingComputer.
“Penyerang dengan kunci penandatanganan AAD adalah penyerang paling kuat yang dapat Anda bayangkan, karena mereka dapat mengakses hampir semua aplikasi – sebagai pengguna mana pun. Ini adalah kekuatan super ‘pengubah bentuk’ intelijen dunia maya.”
Menanggapi pelanggaran keamanan, Microsoft mencabut semua kunci penandatanganan MSA yang valid untuk memastikan bahwa pelaku ancaman tidak memiliki akses ke kunci lain yang disusupi.
Langkah ini juga menggagalkan upaya apa pun untuk menghasilkan token akses baru. Selanjutnya, Redmond merelokasi token akses yang baru dibuat ke penyimpanan kunci untuk sistem perusahaan perusahaan.
Setelah membatalkan kunci penandatanganan yang dicuri, Microsoft tidak menemukan bukti lebih lanjut yang menunjukkan akses tidak sah tambahan ke akun pelanggannya menggunakan teknik pemalsuan token autentikasi yang sama.
Selain itu, Microsoft melaporkan mengamati pergeseran taktik Storm-0558, menunjukkan bahwa pelaku ancaman tidak lagi memiliki akses ke kunci penandatanganan apa pun.
Last but not least, perusahaan mengungkapkan Jumat lalu bahwa itu masih belum tahu bagaimana peretas Cina mencuri kunci penandatanganan konsumen Microsoft. Namun, setelah mendapat tekanan dari CISA, mereka setuju perluas akses ke data cloud logging secara gratis untuk membantu pembela HAM mendeteksi upaya pelanggaran serupa di masa mendatang.
Sebelumnya, kemampuan pembuatan log ini hanya tersedia untuk pelanggan Microsoft yang membayar lisensi pembuatan log Purview Audit (Premium). Akibatnya, Microsoft menghadapi banyak kritik karena menghalangi organisasi untuk segera mendeteksi serangan Storm-0558.
“Pada tahap ini, sulit untuk menentukan tingkat insiden sepenuhnya karena ada jutaan aplikasi yang berpotensi rentan, baik aplikasi Microsoft maupun aplikasi pelanggan, dan sebagian besar tidak memiliki log yang memadai untuk menentukan apakah mereka disusupi atau tidak,” Tamari menyimpulkan hari ini.
Perbarui 7/22/23: Artikel yang diperbarui dengan klarifikasi dari Microsoft.
