Incidente de violación de claves de Microsoft por Storm-0558

Microsoft reveló que un actor de amenazas usó tokens de autenticación falsificados para acceder a cuentas de correo electrónico de agencias gubernamentales y otras organizaciones. El actor de amenazas obtuvo acceso a claves que quedaron por error en un entorno de menor nivel, lo que le permitió falsificar tokens y entrar a cuentas de correo empresarial alojadas por Microsoft. 

A pesar de que Microsoft contaba con un entorno altamente seguro y aislado donde las claves se ubicaban inicialmente, estas finalmente se trasladaron a un entorno inferior, menos seguro. Esto ocurrió debido a una serie de errores en los flujos automatizados de Microsoft y fallas posteriores en las verificaciones del sistema. Las claves nunca debieron trasladarse a un entorno inferior.

Los datos mal ubicados en entornos inferiores pueden tener menos controles, menos monitoreo y mayor exposición. La filtración resultante dejó a Microsoft con una reputación dañada no solo ante sus clientes, sino que también llevó a un mayor escrutinio regulatorio por parte de la Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de EE. UU.

¿Qué pasó? 

A partir del 15 de mayo de 2023, un actor de amenazas con base en China, Storm-0558, utilizó tokens de autenticación falsificados para acceder a cuentas de correo electrónico de alrededor de 25 organizaciones, incluidas algunas pertenecientes a agencias gubernamentales. Las cuentas de consumidores individuales asociadas con esas organizaciones también se vieron comprometidas.  

El punto de partida del incidente ocurrió en abril de 2021, cuando una falla en un sistema de firma para consumidores generó un volcado de memoria (crash dump), una instantánea del proceso que se bloqueó. Normalmente, los datos sensibles, incluidas las claves, se redactan en los volcados de memoria. Sin embargo, una condición de carrera, un error de máquina en el que el sistema no logra realizar las operaciones en la secuencia adecuada, permitió la inclusión de claves en el volcado. Luego, el volcado se trasladó de un entorno seguro de producción a un entorno inferior para depuración. En algún momento posterior, Storm-0558 comprometió la cuenta corporativa de un ingeniero de Microsoft, la cual tenía acceso al entorno inferior que contenía el volcado de memoria.

En el momento de la vulneración de la cuenta de correo electrónico, los sistemas de correo de Microsoft permitían el acceso a cuentas de correo empresariales usando un token de seguridad firmado con una clave de consumidor. Después de que Storm-0558 adquirió la clave de firma de consumidor, la utilizó para falsificar tokens. El actor de la amenaza luego usó esos tokens para acceder a Outlook Web Access en Exchange Online (OWA) y a Outlook.com de agencias gubernamentales y otros objetivos.

Al momento de redactar esto, Microsoft ha contactado a las organizaciones afectadas con información sobre cómo proceder con la investigación y la respuesta.

Cómo Cyera ayuda a proteger los datos confidenciales

Lo siguiente destaca cómo el descubrimiento, la clasificación y el enriquecimiento contextual impulsados por IA de Cyera habrían detectado esta exposición y habrían capacitado al equipo de seguridad para prevenir un ataque como este:

• Descubre y clasifica datos confidenciales, incluidos llaves, tokens y contraseñas, en diferentes formatos de archivo. Los datos confidenciales se encuentran comúnmente en varios formatos de datos: pgp, pem, xls, doc, docx y más. Sin embargo, los datos confidenciales también pueden quedar capturados en instantáneas, tal como ocurrió en el incidente de filtración de claves de Microsoft.
• Escanea y descubre datos secretos en distintos entornos
• Detectar el almacenamiento inadecuado de datos de secretos en un entorno menos seguro y no productivo
• Detecta riesgos de acceso cuando datos de secretos estén disponibles en un almacén de datos con acceso permisivo
• Detecta infracciones de cifrado cuando los datos de secretos se exponen en texto plano
• Asigna una puntuación de gravedad a los eventos correlacionados, según el nivel de riesgo y la posible magnitud de los daños
• Genera una alerta, notifica a los equipos asignados y activa flujos de trabajo para remediar el problema

La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tu información y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de los datos de forma holística en todo tu entorno de datos, somos la única solución que puede capacitar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar las exposiciones y garantizar el cumplimiento sin interrumpir el negocio.

Para obtener más información sobre cómo proteger los datos de secretos, programa una demostración hoy mismo.