De vermeende diefstal van een beveiligingssleutel van Microsoft zou spionnen in Peking in staat hebben gesteld om meer dan alleen Outlook en Exchange Online e-mailaccounts te kraken.

In een schokkende onthulling die meer aandacht verdient, is een interne privé cryptografische sleutel van Microsoft – die wordt gebruikt om toegangsmunten voor zijn online diensten digitaal te ondertekenen – op de een of andere manier door iemand bemachtigd. De spionnen maakten tokens met deze sleutel, waarmee ze toegang kregen tot e-mailsystemen van Microsoft-klanten. Hierdoor leek het alsof Microsoft de tokens legitiem had uitgegeven.

In het bezit van deze waardevolle tokens kregen de vermoedelijk in China gevestigde infiltranten toegang tot de Microsoft cloud e-mailaccounts van Amerikaanse overheidsfunctionarissen, waaronder de Amerikaanse minister van Handel Gina Raimondo. Een federale overheidsinstantie ontdekte de cyberinbraak en sloeg alarm.

Hoe deze krachtige privésleutel voor ondertekening werd verkregen, blijft een mysterie voor Microsoft. Voor zover wij weten, moeten ze het nog uitzoeken, of in ieder geval moeten ze het nog openbaar maken. Microsoft heeft die specifieke sleutel ingetrokken. De spionnen hebben de codenaam Storm-0558. 

De privésleutel had toegang kunnen geven tot meer dan alleen de Outlook en Exchange Online accounts van mensen, zo is ons verteld. Microsoft betwist deze bewering echter.

Lees ook: “ChatGPT’s AI-prestaties: Verder dan de Turingtest of nog niet helemaal?”

Verder is het van toepassing op applicaties die eigendom zijn van de klant en die de functie “inloggen met Microsoft” ondersteunen en multi-tenant applicaties die zijn ingesteld om het “gemeenschappelijke” v2.0 keys eindpunt te gebruiken in plaats van het eindpunt “organisaties”. Toepassingen die OpenID v1.0 gebruiken, blijven veilig.

Hoewel Microsoft de gecompromitteerde coderingssleutel ongeldig heeft gemaakt en een lijst met compromitteringsindicatoren heeft gedeeld voor degenen die zich afvragen of Storm-0558 ook op hen is gericht, beweert Wiz dat het voor Microsoft-klanten moeilijk kan zijn om vast te stellen of oplichters vervalste tokens hebben gebruikt om gegevens uit hun applicaties te halen. Tamari schrijft dit toe aan de behoefte aan meer logboeken gekoppeld aan tokenverificatie.

In een twist, Redmond overeengekomen om alle klanten gratis toegang tot cloud security logs onder druk van de Amerikaanse overheid – een dienst meestal gereserveerd voor premium klanten – maar pas vanaf september.

Microsoft meldde de aanval op 11 juli. De Azure gigant verklaarde toen, en in een update van 14 juli, dat de spionnen vervalste authenticatietokens gebruikten om e-mailaccounts van overheidsinstanties te kraken voor spionage.

De Wall Street Journal meldde donderdag dat Chinese spionnen ook toegang hadden tot de inboxen van de Amerikaanse ambassadeur in China, Nicholas Burns, en Daniel Kritenbrink, de assistent-staatssecretaris voor Oost-Azië.

Hoe de spionnen aanvankelijk aan de privé-coderingssleutel kwamen, blijft een raadsel. Volgens het Wiz-beveiligingsteam lijkt de in China gevestigde groep een van de sleutels te hebben bemachtigd die worden gebruikt voor het verifiëren van Azure Active Directory (AAD) toegangstokens, waardoor ze elk OpenID v2.0 toegangstoken voor persoonlijke accounts en zowel multi-tenant als persoonlijke AAD-applicaties kunnen ondertekenen als Microsoft.

Hoewel Microsoft de gecompromitteerde sleutel buiten gebruik heeft gesteld, waardoor deze niet langer kan worden gebruikt om tokens te fabriceren en toegang te krijgen tot AAD-toepassingen, is het mogelijk dat aanvallers tijdens eerdere sessies deze toegang hebben gebruikt om backdoors te installeren of persistentie te bewerkstelligen.

“Een prominent voorbeeld hiervan is hoe Storm-0558, voordat Microsoft ingreep, geldige Exchange Online toegangstokens uitgaf door toegangstokens voor Outlook Web Access (OWA) te vervalsen,” schreef Tamari.