Key Microsoft bị đánh cắp cho phép hacker truy cập rộng rãi vào các dịch vụ đám mây
Theo các chuyên gia an ninh Wiz, signing key của người dùng Microsoft bị lấy cắp bởi nhóm hacker Trung Quốc Storm-0558, cho phép quyền truy cập vào nhiều dịch vụ chứ không chỉ giới hạn ở Exchange Online và Outlook.com như Redmond đã tuyên bố trước đó.
Redmond hôm 12/7 tiết lộ rằng, hacker đã xâm nhập tài khoản Exchange Online và Azure Active Directory (AD) của khoảng hai chục tổ chức. Để thực hiện điều này, hacker đã khai thác lỗ hổng trong GetAccessTokenForResourceAPI để giả mạo token truy cập đã ký và mạo danh tài khoản trong các tổ chức đích.
Mục tiêu nhắm tới bao gồm các cơ quan chính phủ ở Mỹ và các khu vực Tây Âu, trong đó có Bộ Ngoại giao và Thương mại Hoa Kỳ.
Mặc dù Microsoft cho biết chỉ Exchange Online và Outlook bị ảnh hưởng, nhưng theo Wiz, hacker có thể sử dụng signing key lấy cắp để mạo danh bất kỳ tài khoản nào của khách hàng bị ảnh hưởng hoặc bất kỳ ứng dụng Microsoft dựa trên đám mây nào.
“Điều này bao gồm các ứng dụng Microsoft quản lý, như Outlook, SharePoint, OneDrive và Teams, cũng như các ứng dụng của khách hàng hỗ trợ xác thực Tài khoản Microsoft, bao gồm cả những ứng dụng cho phép chức năng ‘Đăng nhập bằng Microsoft“.
“Mọi thứ trong thế giới của Microsoft đều sử dụng token xác thực Azure Active Directory để truy cập“, đại diện Wiz cho biết.
Để khắc phục vấn đề, Microsoft đã thu hồi tất cả các signing key MSA hợp lệ để đảm bảo rằng hacker không có quyền truy cập vào các key bị xâm nhập khác. Biện pháp này cũng ngăn việc tạo access token mới. Ngoài ra, Redmond đã chuyển dời các access token mới được tạo vào kho lưu trữ key cho các hệ thống doanh nghiệp của công ty.
Sau khi vô hiệu hóa signing key bị đánh cắp, Microsoft không tìm thấy thêm bằng chứng về việc truy cập trái phép vào tài khoản của khách hàng. Hãng cũng cho biết đã nhận thấy sự thay đổi trong chiến thuật của Storm-0558 khi nhóm này không còn quyền truy cập vào bất kỳ signing key nào nữa.
Nguồn: Bleeping Computer