Incidente de violación de claves de Microsoft por Storm-0558

Sep 14, 2023
Share

Microsoft reveló Un atacante utilizó tokens de autenticación falsificados para acceder a cuentas de correo electrónico de agencias gubernamentales y otras organizaciones. El atacante obtuvo acceso a claves que quedaron accidentalmente en un entorno descentralizado, lo que le permitió falsificar tokens y acceder a cuentas de correo electrónico corporativas alojadas por Microsoft.

A pesar de que Microsoft contaba con un entorno altamente seguro y aislado donde se ubicaban inicialmente las claves, estas fueron trasladadas posteriormente a un entorno menos seguro. Esto ocurrió debido a una serie de errores en los flujos automatizados de Microsoft y a los consiguientes fallos en las comprobaciones del sistema. Las claves nunca debieron trasladarse a un entorno inferior.

Los datos mal ubicados en entornos inferiores pueden tener menos controles, menos supervisión y mayor exposición. La brecha resultante dejó a Microsoft con una reputación empañada no solo con sus clientes, sino que también condujo a escrutinio regulatorio del Comité de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de Estados Unidos.

¿Qué pasó?

A partir del 15 de mayo de 2023, un grupo de ciberdelincuentes con sede en China, denominado Storm-0558, utilizó tokens de autenticación falsificados para acceder a las cuentas de correo electrónico de aproximadamente 25 organizaciones, incluidas algunas pertenecientes a agencias gubernamentales. Las cuentas de usuarios individuales asociadas a dichas organizaciones también se vieron comprometidas.

El incidente se originó en abril de 2021, cuando un fallo en el sistema de firma digital generó un volcado de memoria, una instantánea del proceso que falló. Normalmente, los datos confidenciales, incluidas las claves, se eliminan de los volcados de memoria. Sin embargo, una condición de carrera (un error de máquina en el que el sistema no ejecuta las operaciones en la secuencia correcta) permitió la inclusión de claves en el volcado. Posteriormente, el volcado se trasladó de un entorno de producción seguro a un entorno de prueba para su depuración. Tiempo después, la vulnerabilidad Storm-0558 comprometió la cuenta corporativa de un ingeniero de Microsoft, que tenía acceso al entorno de prueba que contenía el volcado de memoria.

En el momento de la filtración de las cuentas de correo electrónico, los sistemas de correo de Microsoft permitían el acceso a las cuentas corporativas mediante un token de seguridad firmado con una clave de consumidor. Tras obtener la clave de firma del consumidor, Storm-0558 la utilizó para falsificar tokens. Posteriormente, el atacante utilizó dichos tokens para acceder a Outlook Web Access (OWA) en Exchange Online y Outlook.com de agencias gubernamentales y otros objetivos.

En el momento de redactar este informe, Microsoft se ha puesto en contacto con las organizaciones afectadas para informarles sobre cómo proceder con la investigación y la respuesta.

Cómo Cyera ayuda a proteger los datos secretos

A continuación se destaca cómo el descubrimiento, la clasificación y el enriquecimiento contextual impulsados ​​por IA de Cyera habrían detectado esta vulnerabilidad y habrían capacitado al equipo de seguridad para prevenir un ataque de este tipo:

  • Descubra y clasifique datos confidenciales, como claves, tokens y contraseñas, en diferentes formatos de archivo. Estos datos suelen encontrarse en diversos formatos: pgp, pem, xls, doc, docx, entre otros. Sin embargo, también pueden capturarse en instantáneas, como ocurrió en el incidente de filtración de claves de Microsoft.
  • Escanee y descubra datos secretos en diferentes entornos.
  • Detectar el almacenamiento inadecuado de datos confidenciales en un entorno menos seguro y que no sea de producción.
  • Detectar riesgos de acceso cuando los datos secretos estén disponibles en un almacén de datos con acceso permisivo.
  • Detecta violaciones de cifrado, cuando los datos secretos se exponen en texto plano.
  • Asigne una puntuación de gravedad a los eventos correlacionados, en función del nivel de riesgo y la posible magnitud de los daños.
  • Generar una alerta, notificar a los equipos asignados y activar flujos de trabajo para solucionar el problema.
Diagrama que ilustra cómo Storm-0558 explotó una clave de Microsoft para acceder a cuentas de correo electrónico basadas en la nube.

La plataforma de seguridad de datos de Cyera proporciona un contexto profundo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Para obtener más información sobre cómo puede proteger los datos secretos, Programa una demostración hoy.

Share