Incidente de Violação de Chave da Microsoft pelo Storm-0558

A Microsoft divulgou que um agente de ameaça usou tokens de autenticação falsificados para acessar contas de e-mail de agências governamentais e outras organizações. O agente de ameaça obteve acesso a chaves que foram inadvertidamente deixadas em um ambiente de nível inferior, permitindo que o agente falsificasse tokens e obtivesse acesso a contas de e-mail corporativas hospedadas pela Microsoft.

Apesar de a Microsoft ter um ambiente altamente seguro e isolado onde as chaves estavam inicialmente localizadas, as chaves foram eventualmente movidas para um ambiente inferior e menos seguro. Isso ocorreu devido a uma série de bugs nos fluxos automatizados da Microsoft e subsequentes falhas nas verificações do sistema. As chaves nunca deveriam ter sido movidas para um ambiente inferior.

Dados mal posicionados em ambientes inferiores podem ter menos controles implementados, menos monitoramento e mais exposição. A violação resultante deixou a Microsoft com uma reputação manchada não apenas com seus clientes, mas também levou a escrutínio regulatório do Conselho de Revisão de Segurança Cibernética do Departamento de Segurança Interna dos EUA.

O que aconteceu?

A partir de 15 de maio de 2023, um agente de ameaça baseado na China, Storm-0558, usou tokens de autenticação falsificados para acessar contas de e-mail de cerca de 25 organizações, incluindo aquelas pertencentes a agências governamentais. Contas de consumidores individuais associadas a essas organizações também foram comprometidas.

O ponto de partida para o incidente ocorreu em abril de 2021, quando uma falha no sistema de assinatura do consumidor gerou um despejo de memória, um instantâneo do processo que falhou. Normalmente, dados sensíveis, incluindo chaves, são removidos dos despejos de memória. No entanto, uma condição de corrida, erro de máquina no qual o sistema falha ao executar operações em uma sequência adequada, permitiu a inclusão de chaves no despejo de memória. O despejo de memória foi então movido de um ambiente de produção seguro para um ambiente de nível inferior para depuração. Em algum momento posterior, o Storm-0558 comprometeu a conta corporativa de um engenheiro da Microsoft, que tinha acesso ao ambiente de nível inferior que continha o despejo de memória.

No momento do comprometimento da conta de e-mail, os sistemas de e-mail da Microsoft permitiam acesso a contas de e-mail corporativas usando um token de segurança assinado com uma chave de consumidor. Depois que o Storm-0558 adquiriu a chave de assinatura de consumidor, ele a usou para forjar tokens. O agente de ameaça então usou esses tokens para acessar o Outlook Web Access no Exchange Online (OWA) e o Outlook.com de agências governamentais e outros alvos.

No momento em que este texto foi escrito, as organizações comprometidas foram contatadas pela Microsoft com informações sobre como proceder com a investigação e resposta.

Como a Cyera ajuda a proteger dados de segredos

Os destaques a seguir mostram como a descoberta, classificação e enriquecimento contextual alimentados por IA da Cyera teriam detectado essa exposição e capacitado a equipe de segurança a prevenir tal ataque:

• Descubra e classifique dados de segredos, incluindo chaves, tokens e senhas em diferentes formatos de arquivo. Dados de segredos são comumente encontrados em diversos formatos de dados: pgp, pem, xls, doc, docx e mais. No entanto, dados de segredos também podem ser capturados em snapshots, assim como aconteceu no incidente de vazamento de chave da Microsoft.
• Escaneie e descubra dados secretos em diferentes ambientes
• Detectar armazenamento inadequado de dados secretos em um ambiente menos seguro e não produtivo
• Detecte riscos de acesso quando dados de segredos ficam disponíveis em um armazenamento de dados com acesso permissivo
• Detectar violações de criptografia, quando dados secretos são expostos em texto simples
• Atribuir uma pontuação de gravidade aos eventos correlacionados, com base no nível de risco e na extensão potencial dos danos
• Gerar um alerta, notificando as equipes atribuídas e acionando fluxos de trabalho para remediar o problema

A plataforma de segurança de dados da Cyera fornece contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir resiliência cibernética e conformidade.

A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar medidas imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como você pode proteger dados de segredos, agende uma demonstração hoje.