A conclusione di un’indagine durata mesi, i tecnici di Microsoft hanno potuto accertare cos’è successo durante l’ondata di attacchi che ha interessato account governativi e di altre aziende di primo piano, basati su Exchange Online. La domanda più pressante era come gli aggressori (gli hacker cinesi di Storm-0558) fossero venuti in possesso della chiave MSA utilizzata per farsi largo negli account altrui. Adesso si punta il dito contro un crash di Windows e in particolare nei confronti di un file di dump automaticamente generato dal sistema operativo.
Cos’è la chiave MSA
La chiave MSA si riferisce alla Microsoft Account Consumer Signing Key: si tratta di una chiave crittografica utilizzata per autenticare e firmare digitalmente le informazioni relative agli account Microsoft degli utenti. Questa chiave è un componente critico per garantire la sicurezza degli account Microsoft ed è abitualmente utilizzata per proteggere l’accesso e i dati associati a tali account.
Un eventuale aggressore, come abbiamo visto più volte, non può accedere a un account Microsoft altrui anche conoscendo nome utente e password corretti. Almeno se quell’account è protetto con l’autenticazione a due fattori o con una misura di sicura multifattoriale.
Conoscendo la chiave MSA, però, è possibile effettuare accessi non autorizzati, anche sui servizi che Microsoft fornisce alle aziende attraverso la sua piattaforma cloud. Il fatto è che quella chiave non sta sui sistemi dei clienti.
Crash di Windows espone la chiave MSA
Nel suo comunicato, Microsoft spiega di mantenere un ambiente di produzione altamente isolato rispetto a tutto ciò che ruota intorno ad esso. I controlli per l’accesso da parte dei dipendenti Microsoft all’infrastruttura di produzione includono controlli costanti sui precedenti penali, account dedicati, postazioni di lavoro per l’accesso sicuro e autenticazione a più fattori tramite token hardware. L’azienda di Redmond utilizza un approccio Zero Trust in base al quale nulla di riservato può uscire dall’ambiente di produzione.
Eppure, stavolta, qualcosa è andato storto. Durante l’indagine, Microsoft ha potuto accertare che ad aprile 2021 un sistema che si occupa di gestire le chiavi MSA è andato in crash generando un file dump.
Quando, in seguito a un crash di Windows, viene generato un file dump questo non dovrebbe mai contenere dati riservati. Il sistema operativo, infatti, è chiamato a rimuovere tutti i dati personali e potenzialmente “pericolosi” dall’immagine della memoria che viene generata. In un altro articolo abbiamo visto come ispezionare il contenuto dei file dump con WinDbg per risalire alla causa dell’errore che ha portato all’esposizione di una schermata blu (BSoD, Blue Screen of Death).
Chiave MSA uscita dall’ambiente di produzione per via di un bug legato alla generazione dei file dump
La chiave MSA dovrebbe essere trattata come un’informazione altamente sensibile e dovrebbe essere mantenuta segreta, anche all’interno di Microsoft.
Ecco, nell’incidente che ha visto protagonista proprio Microsoft, è successo che il file dump con la chiave MSA è stato trasferito verso l’ambiente di debug e da qui rubato dai componenti del team Storm-0558. La sottrazione del file dump, con il suo contenuto, è avvenuta sul sistema di un dipendente aziendale, il cui account era stato precedentemente forzato.
Scrive Microsoft: “quando la chiave è trapelata nell’ambiente aziendale come crash dump, gli attaccanti di Storm-0558 sono riusciti a compromettere con successo l’account aziendale di un ingegnere Microsoft. Questo account aveva accesso all’ambiente di debug contenente il dump del crash che conteneva erroneamente la chiave. A causa delle politiche di conservazione dei log, non disponiamo di log con prove specifiche di questa esfiltrazione da parte del membro di Storm-0558, ma questo è il meccanismo più probabile attraverso il quale l’attore ha acquisito la chiave“.
Nel frattempo, gli ingegneri Microsoft avevano già rilevato il problema legato alla presenza della chiave MSA nel file dump e hanno corretto l’anomalia che portava all’inserimento di questo dato così cruciale nel file di dump.
Accesso diffuso ai servizi Microsoft secondo un ricercatore di sicurezza
Mentre Microsoft, quando ha rivelato l’incidente a luglio scorso, ha affermato che erano stati colpiti solo Exchange Online e Outlook, il ricercatore di sicurezza Shir Tamari ha successivamente affermato che la chiave MSA compromessa avrebbe fornito al gruppo Storm-0558 un ampio accesso ai servizi cloud Microsoft.
Tamari ha dichiarato che la chiave MSA potrebbe essere stata utilizzata per impersonare qualsiasi account Microsoft basato sul cloud. “Ciò include le applicazioni Microsoft gestite, come Outlook, SharePoint, OneDrive e Teams, nonché le applicazioni che supportano l’autenticazione con l’account Microsoft, comprese quelle che prevedono la funzionalità <<Accedi con Microsoft>>“, ha aggiunto ancora Tamari.
In risposta alla violazione di sicurezza, Microsoft ha revocato tutte le chiavi di firma MSA per impedire agli aggressori di proseguire l’attacco. Questo passaggio ha di fatto bloccato qualsiasi ulteriore sforzo volto a generare nuovi token di accesso.
In calce al suo intervento del 6 settembre 2023, Microsoft riporta l’elenco di operazioni che sono state poste in essere per mettere in sicurezza il sistema ed evitare ulteriori esposizioni della chiave MSA.
Credit immagine in apertura: iStock.com/lcva2