Incident de violation de clé Microsoft par Storm-0558

Microsoft a révélé qu’un acteur malveillant a utilisé des jetons d’authentification falsifiés pour accéder aux comptes de messagerie d’agences gouvernementales et d’autres organisations. L’acteur a obtenu l’accès à des clés qui avaient été laissées par inadvertance dans un environnement de moindre sécurité, ce qui lui a permis de forger des jetons et d’accéder à des comptes de messagerie d’entreprise hébergés par Microsoft.

Bien que Microsoft disposait d’un environnement hautement sécurisé et isolé où les clés étaient initialement stockées, celles-ci ont finalement été déplacées vers un environnement moins sécurisé et de niveau inférieur. Cela s’est produit à la suite d’une série de bugs dans les processus automatisés de Microsoft et d’échecs ultérieurs des vérifications du système. Les clés n’auraient jamais dû être déplacées vers un environnement de niveau inférieur.

Les données mal placées dans les environnements inférieurs peuvent avoir moins de contrôles en place, moins de surveillance et plus d'exposition. La violation qui en a résulté a laissé Microsoft avec une réputation ternie non seulement auprès de ses clients, mais a également conduit à un examen réglementaire de la part du Conseil d'examen de la cybersécurité du Département de la Sécurité intérieure des États-Unis.

Que s'est-il passé ? 

À partir du 15 mai 2023, un acteur malveillant basé en Chine, Storm-0558, a utilisé de faux jetons d'authentification pour accéder aux comptes de messagerie d'environ 25 organisations, y compris ceux d'agences gouvernementales. Les comptes individuels de consommateurs associés à ces organisations ont également été compromis.

Le point de départ de l'incident remonte à avril 2021, lorsqu'un crash du système de signature des consommateurs a généré un fichier de vidage mémoire, une capture instantanée du processus planté. En général, les données sensibles, y compris les clés, sont supprimées des fichiers de vidage mémoire. Cependant, une condition de concurrence, une erreur machine dans laquelle le système n'exécute pas les opérations dans le bon ordre, a permis l'inclusion de clés dans le fichier de vidage. Ce fichier a ensuite été déplacé d'un environnement de production sécurisé vers un environnement de niveau inférieur pour le débogage. Plus tard, Storm-0558 a compromis le compte professionnel d'un ingénieur Microsoft, qui avait accès à l'environnement de niveau inférieur contenant le fichier de vidage mémoire.

Au moment de la compromission du compte de messagerie, les systèmes de messagerie Microsoft permettaient l'accès aux comptes de messagerie d'entreprise à l'aide d'un jeton de sécurité signé avec une clé grand public. Après que Storm-0558 a acquis la clé de signature grand public, il l'a utilisée pour falsifier des jetons. L'acteur malveillant a ensuite utilisé ces jetons pour accéder à Outlook Web Access dans Exchange Online (OWA) et Outlook.com des agences gouvernementales et d'autres cibles.

Au moment de la rédaction de ce document, les organisations compromises ont été contactées par Microsoft avec des informations sur la manière de procéder à l'enquête et à la réponse.

Comment Cyera aide à protéger les données secrètes

Les points suivants mettent en évidence comment la découverte, la classification et l'enrichissement contextuel alimentés par l'IA de Cyera auraient détecté cette exposition et permis à l'équipe de sécurité d'empêcher une telle attaque :

• Découvrez et classez les données sensibles, y compris les clés, les jetons et les mots de passe, dans différents formats de fichiers. Les données sensibles se trouvent couramment dans de nombreux formats de données : pgp, pem, xls, doc, docx, et bien d'autres. Cependant, les données sensibles peuvent également être capturées dans des instantanés, comme cela s'est produit lors de l'incident de violation de clé chez Microsoft.
• Analysez et découvrez les données sensibles dans différents environnements
• Détecter le stockage inapproprié de données confidentielles dans un environnement moins sécurisé et non destiné à la production
• Détectez les risques d'accès lorsque des données sensibles deviennent disponibles dans un magasin de données à accès permissif
• Détectez les violations de chiffrement, lorsque des données confidentielles sont exposées en texte clair
• Attribuer un score de gravité aux événements corrélés, en fonction du niveau de risque et de l'étendue potentielle des dommages
• Générer une alerte, notifier les équipes assignées et déclencher des workflows pour remédier au problème

La plateforme de sécurité des données de Cyera offre une compréhension approfondie de vos données, en appliquant des contrôles appropriés et continus pour garantir la cyber-résilience et la conformité.

Cyera adopte une approche centrée sur les données en matière de sécurité, évaluant l’exposition de vos données au repos et en cours d’utilisation, et appliquant plusieurs couches de défense. Parce que Cyera applique un contexte approfondi des données de manière globale à l’ensemble de votre environnement de données, nous sommes la seule solution capable de permettre aux équipes de sécurité de savoir où se trouvent leurs données, ce qui les expose à des risques, et d’agir immédiatement pour remédier aux expositions et garantir la conformité sans perturber l’activité.

Pour en savoir plus sur la façon dont vous pouvez sécuriser les données de secrets, planifiez une démo dès aujourd'hui.