Incident de violation de clés Microsoft par Storm-0558

Sep 14, 2023
Share

Microsoft a révélé Un acteur malveillant a utilisé des jetons d'authentification falsifiés pour accéder aux comptes de messagerie d'organismes gouvernementaux et d'autres organisations. Il a ainsi obtenu des clés laissées par inadvertance dans un environnement de niveau inférieur, ce qui lui a permis de falsifier des jetons et d'accéder à des comptes de messagerie d'entreprise hébergés par Microsoft.

Bien que Microsoft disposât d'un environnement hautement sécurisé et isolé où les clés étaient initialement stockées, ces dernières ont finalement été déplacées vers un environnement moins sécurisé. Ce déplacement est dû à une série de bogues dans les processus automatisés de Microsoft et à des défaillances de contrôle système subséquentes. Les clés n'auraient jamais dû être déplacées vers un environnement moins sécurisé.

Des données mal placées dans des environnements de niveau inférieur peuvent être moins bien contrôlées, moins surveillées et donc plus exposées. La violation de données qui en a résulté a terni la réputation de Microsoft auprès de ses clients et a également entraîné… examen réglementaire du Comité d'examen de la cybersécurité du département américain de la Sécurité intérieure.

Ce qui s'est passé?

À partir du 15 mai 2023, un groupe de cybercriminels basé en Chine, Storm-0558, a utilisé des jetons d'authentification falsifiés pour accéder aux comptes de messagerie d'une vingtaine d'organisations, dont des agences gouvernementales. Des comptes de particuliers associés à ces organisations ont également été compromis.

L'incident a débuté en avril 2021, lorsqu'un plantage du système de signature d'un utilisateur a généré un fichier de vidage mémoire, un instantané du processus défaillant. En règle générale, les données sensibles, notamment les clés, sont expurgées de ces fichiers. Cependant, une condition de concurrence, une erreur machine empêchant le système d'exécuter les opérations dans l'ordre prévu, a permis l'inclusion de clés dans le fichier de vidage. Ce dernier a ensuite été déplacé d'un environnement de production sécurisé vers un environnement de test à des fins de débogage. Plus tard, la faille Storm-0558 a compromis le compte professionnel d'un ingénieur Microsoft, qui avait accès à cet environnement de test contenant le fichier de vidage.

Au moment de la compromission du compte de messagerie, les systèmes de messagerie Microsoft autorisaient l'accès aux comptes de messagerie d'entreprise au moyen d'un jeton de sécurité signé avec une clé grand public. Après avoir obtenu cette clé de signature, Storm-0558 l'a utilisée pour falsifier des jetons. L'attaquant s'en est ensuite servi pour accéder à Outlook Web Access (OWA) et à Outlook.com, ainsi qu'à ceux d'organismes gouvernementaux et d'autres cibles.

Au moment de la rédaction de ce document, les organisations compromises ont été contactées par Microsoft et informées de la procédure à suivre en matière d'enquête et de réponse.

Comment Cyera contribue à protéger les données confidentielles

L'exemple suivant illustre comment la technologie de découverte, de classification et d'enrichissement contextuel basée sur l'IA de Cyera aurait permis de détecter cette vulnérabilité et d'aider l'équipe de sécurité à prévenir une telle attaque :

  • Découvrez et classez les données confidentielles, notamment les clés, les jetons et les mots de passe, dans différents formats de fichiers. Ces données se trouvent généralement dans de nombreux formats : pgp, pem, xls, doc, docx, etc. Elles peuvent également être capturées sous forme d’instantanés, comme ce fut le cas lors de la fuite de clés chez Microsoft.
  • Scannez et découvrez des données secrètes dans différents environnements
  • Détecter le stockage inapproprié de données confidentielles dans un environnement non sécurisé, hors production.
  • Détecter les risques d'accès lorsque des données confidentielles deviennent disponibles dans un entrepôt de données à accès permissif.
  • Détecter les violations de chiffrement lorsque des données secrètes sont exposées en clair.
  • Attribuer un score de gravité aux événements corrélés, en fonction du niveau de risque et de l'étendue potentielle des dommages.
  • Générez une alerte, notifiez les équipes concernées et déclenchez des flux de travail pour résoudre le problème.
Schéma illustrant comment Storm-0558 a exploité une clé Microsoft pour accéder à des comptes de messagerie hébergés dans le cloud.

La plateforme de sécurité des données de Cyera fournit un contexte approfondi sur vos données, en appliquant des contrôles corrects et continus pour assurer la cyber-résilience et la conformité.

Cyera adopte une approche de sécurité centrée sur les données, évaluant l'exposition de vos données au repos et en cours d'utilisation et appliquant de multiples niveaux de défense. Grâce à une analyse approfondie et globale de votre environnement de données, Cyera est la seule solution permettant aux équipes de sécurité de localiser leurs données, d'identifier les risques et d'intervenir immédiatement pour y remédier et garantir la conformité, sans perturber l'activité.

Pour en savoir plus sur la manière de sécuriser vos données confidentielles, planifier une démonstration aujourd'hui.

Share