Incidente de violação de chave da Microsoft pela Storm-0558

A Microsoft divulgou que um agente malicioso usou tokens de autenticação falsificados para acessar contas de e-mail de agências governamentais e outras organizações. O agente obteve acesso a chaves que foram inadvertidamente deixadas em um ambiente de segurança inferior, permitindo que ele falsificasse tokens e obtivesse acesso a contas de e-mail corporativas hospedadas pela Microsoft.
Apesar de a Microsoft possuir um ambiente altamente seguro e isolado onde as chaves estavam inicialmente localizadas, elas foram eventualmente movidas para um ambiente menos seguro. Isso ocorreu devido a uma série de erros nos fluxos automatizados da Microsoft e consequentes falhas nas verificações do sistema. As chaves nunca deveriam ter sido movidas para um ambiente menos seguro.
Dados mal armazenados em ambientes de segurança podem ter menos controles implementados, menos monitoramento e maior exposição. A violação resultante deixou a reputação da Microsoft manchada não apenas perante seus clientes, mas também levou a... escrutínio regulatório do Conselho de Revisão de Segurança Cibernética do Departamento de Segurança Interna dos EUA.
O que aconteceu?
A partir de 15 de maio de 2023, um grupo de ameaças cibernéticas com sede na China, denominado Storm-0558, utilizou tokens de autenticação falsificados para acessar contas de e-mail de cerca de 25 organizações, incluindo agências governamentais. Contas de consumidores individuais associadas a essas organizações também foram comprometidas.
O ponto de partida do incidente ocorreu em abril de 2021, quando uma falha no sistema de assinatura de clientes gerou um despejo de memória (crash dump), um instantâneo do processo que falhou. Normalmente, dados sensíveis, incluindo chaves, são ocultados dos despejos de memória. No entanto, uma condição de corrida, um erro de máquina no qual o sistema não consegue executar operações na sequência correta, permitiu a inclusão de chaves no despejo de memória. O despejo de memória foi então movido de um ambiente de produção seguro para um ambiente de depuração. Algum tempo depois, o Storm-0558 comprometeu a conta corporativa de um engenheiro da Microsoft, que tinha acesso ao ambiente de depuração que continha o despejo de memória.
Na época da invasão da conta de e-mail, os sistemas de e-mail da Microsoft permitiam o acesso a contas de e-mail corporativas usando um token de segurança assinado com uma chave de consumidor. Depois que o Storm-0558 obteve a chave de assinatura do consumidor, ele a usou para forjar tokens. O agente da ameaça então usou esses tokens para acessar o Outlook Web Access no Exchange Online (OWA) e o Outlook.com de agências governamentais e outros alvos.
No momento em que este texto foi escrito, as organizações afetadas foram contatadas pela Microsoft com informações sobre como proceder com a investigação e a resposta.
Como a Cyera ajuda a proteger dados confidenciais
O texto a seguir destaca como a descoberta, classificação e enriquecimento contextual baseados em IA da Cyera teriam detectado essa vulnerabilidade e capacitado a equipe de segurança a prevenir tal ataque:
- Descubra e classifique dados confidenciais, incluindo chaves, tokens e senhas em diferentes formatos de arquivo. Os dados confidenciais são comumente encontrados em diversos formatos: pgp, pem, xls, doc, docx e muitos outros. No entanto, esses dados também podem ser capturados em snapshots, como ocorreu no incidente de violação de chaves da Microsoft.
- Analise e revele dados secretos em diferentes ambientes.
- Detectar armazenamento inadequado de dados confidenciais em um ambiente menos seguro e fora de produção.
- Detectar riscos de acesso quando dados confidenciais se tornam disponíveis em um repositório de dados com acesso permissivo.
- Detectar violações de criptografia quando dados confidenciais são expostos em texto simples.
- Atribua uma pontuação de gravidade aos eventos correlacionados, com base no nível de risco e na extensão potencial dos danos.
- Gere um alerta, notificando as equipes designadas e acionando fluxos de trabalho para solucionar o problema.

A plataforma de segurança de dados da Cyera fornece um contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir a resiliência cibernética e a conformidade.
A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.
Para saber mais sobre como proteger dados confidenciais, Agende uma demonstração hoje.
.avif)

