中国を拠点とする脅威アクターが、早ければ2021年の時点でMicrosoftアカウント(MSA)の暗号鍵にアクセスし、それを用いて米国務省および商務省、ならびに他の米政府機関をスパイしていた。
MicrosoftがStorm-0558として追跡している中国支援の攻撃者は、一連の不運な出来事により、25の組織のExchange OnlineおよびAzure Active Directory(現在はMicrosoft Entra ID)アカウントに「合法的」なアクセスを得た。
2021年4月、Microsoftのコンシューマー向け署名システムのクラッシュがバグと重なった結果、MSAキーが意図せずMicrosoftの保護ゾーン外のデータのクラッシュダンプに漏えいした。同社はこの保護ゾーンを、厳格にアクセス制御された本番環境だと説明している。
残念ながら、クラッシュダンプ内の不要なデータを検出するはずだったシステムは、クラッシュダンプがデバッグ環境へ移される前後のいずれにおいても、署名キーを検出できなかった。
デバッグ環境へのアクセス権を持つ侵害アカウント
この出来事の後のある時点で、Storm-0558はMicrosoftのエンジニアの社内アカウントを侵害した。
Microsoftは2023年7月の一連のブログ記事で、侵害の分析と、署名キーがどのように使われて25組織のクラウドベースのOutlookメールシステムへアクセスされたかを説明したが、脅威アクターが当該キーをどのように入手したかは説明しなかった。
9月6日に公開されたフォレンジック分析で、同社は、侵害された社内アカウントが、MSAキーがまだ保存されていたデバッグ環境にアクセスできた可能性が高いことを明らかにした。
「ログ保持ポリシーの都合上、このアクターによる流出を示す具体的な証拠のログはありませんが、アクターがキーを入手した最も可能性の高い仕組みはこれでした」とMicrosoftは述べた。
企業アカウントとコンシューマーアカウントの望ましくない連携
正規の暗号鍵を手にしたStorm-0558は、GetAccessTokenForResourceAPIのゼロデイ脆弱性を悪用できた。
このAPIは、コンシューマーおよびエンタープライズの両方のアプリケーションを使用する顧客システムが、署名を暗号学的に検証できるよう支援する目的で、Microsoftが2018年に提供したものだ。同社は7月に、この欠陥が「その後、Azure ADまたはMSAからそれぞれ発行されたトークンのみを受け付けるよう修正された」ことを確認した。
これにより、脅威アクターは署名付きアクセストークンを偽造し、25組織内の標的アカウントになりすますことが可能になった。
Microsoftによれば、このキャンペーンでStorm-0558がアクセスできたのはExchange OnlineとOutlookに限られていた。
しかし、7月21日の投稿で、Wizのリサーチ責任者であるShir Tamariは、脅威アクターが「Outlook、SharePoint、OneDrive、Teamsに加え、Microsoftアカウント認証をサポートする顧客のアプリケーション」を含むさまざまなMicrosoftサービスにアクセスできた可能性があると主張した。
Microsoftは、脅威アクターが他の侵害されたキーへアクセスするのを防ぐため、すべての有効なMSA署名キーを無効化し、同じトークン偽造手法を用いた顧客アカウントへの不正アクセスの追加証拠がないことを確認した。
Microsoftはまた、従来はプレミアム顧客に限定されていた機能であるクラウドログへのアクセスを、すべてのユーザーに拡大した。これは、ネットワーク防御側が将来の同様の侵害の試みを検知する助けとなり得る。
このインシデントは、多くの人々にクラウドセキュリティへの警鐘と受け止められている。Microsoftによるキャンペーン詳細の開示は、サイバーセキュリティ研究分野の多くから称賛された。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-hacker-steals-microsoft/
