El pasado mes de junio que un grupo de hackers (aparentemente de China), había robado una clave criptográfica de Microsoft. Según informaron, esta clave permitió a los atacantes acceder a sistemas de correo electrónico Outlook basados en la nube para 25 organizaciones, incluidas varias agencias gubernamentales de Estados Unidos. Sin embargo, en el momento de la divulgación, no reveló cómo los piratas informáticos pudieron comprometer una clave tan sensible y altamente protegida, o cómo pudieron usar la clave para moverse entre sistemas de nivel empresarial y de consumo.
Pero, lo cierto es que una nueva investigación revela una cadena de errores y descuidos que consiguieron permitir el improbable ataque. ¡Conozca todos los detalles aquí en TECHcetera!
La clave criptográfica de Microsoft cayó en manos equivocadas por error(es)
Es crucial señalar que estas claves criptográficas son importantes en la infraestructura de la nube debido a que se utilizan para generar “tokens” de autenticación que prueban la identidad de un usuario para acceder a datos y servicios. Desde Microsoft han señalado que almacenan estas claves confidenciales en un “entorno de producción” aislado y con acceso rigurosamente controlado. Pero, durante una falla específica del sistema en el mes de abril de 2021, la clave en cuestión fue un polizón incidental en un caché de datos que salió de la zona protegida.
Luego del nefasto colapso de un sistema de firma de consumidores, la clave criptográfica terminó en un “volcado de emergencia” generado automáticamente de datos sobre lo que había acontecido. Según se ha conocido, los sistemas de Microsoft están diseñados de modo que las claves de firma y otros datos confidenciales no terminen en volcados de memoria, sin embargo, esta clave se escapó debido a un error. Peor aún, los sistemas creados para detectar datos erróneos en volcados de memoria no consiguieron marcar la clave criptográfica.
Cuando el volcado de memoria aparentemente fue examinado y limpiado, se trasladó del entorno de producción a un “entorno de depuración” de Microsoft, una especie de área de clasificación y revisión conectada a la red corporativa habitual de la compañía. Sin embargo, cabe acotar que una vez más, un análisis diseñado para detectar la inclusión accidental de credenciales no logró detectar la presencia de la clave en los datos.
Tiempo después de que todo esto sucediera en el mes de abril de 2021, el grupo de espionaje chino, (al que Microsoft llama Storm-0558), comprometió la cuenta corporativa de un ingeniero de Microsoft con un token de acceso robado, obtenido de una máquina infectada con malware (aunque por el momento, no han compartido cómo ocurrió esa infección).
Es de resaltar que con esta cuenta, los atacantes tenían la capacidad de poder acceder al entorno de depuración donde se almacenaban el desafortunado volcado de memoria y la clave. Desde Microsoft han manifestado que ya no tienen registros de esta época que muestren directamente la cuenta comprometida exfiltrándose del volcado de memoria, “pero este fue el mecanismo más probable, por el cual, el actor adquirió la clave”. Lo cierto es que armados con este descubrimiento trascendental, los atacantes pudieron comenzar a generar tokens de acceso a cuentas de Microsoft legítimos.
Ahora bien, otra pregunta sin aparente respuesta sobre el incidente fue cómo . En este sentido,
Encima de esta cadena de hechos desafortunados, recientemente Microsoft mencionó que: debido a una falla relacionada con una interfaz de programación de aplicaciones que la compañía había proporcionado para ayudar a los sistemas de los clientes a validar firmas criptográficamente, los atacantes lograron usar una clave criptográfica del registro de fallos de un sistema de firma de consumidores para infiltrarse en las cuentas de correo electrónico empresariales de organizaciones como agencias gubernamentales . Hasta donde se pudo conocer, la API no se había actualizado totalmente con bibliotecas que validarían si un sistema debería aceptar tokens firmados con claves de consumidor o claves empresariales y, como resultado, se podría engañar a muchos sistemas para que aceptaran cualquiera de las dos.
La compañía dice haber solucionado los errores
Microsoft afirma que ha solucionado todos los errores y también fallos que exponían acumulativamente la clave en el entorno de depuración y le permitían firmar tokens que serían aceptados por los sistemas empresariales. Pero, aún no describe totalmente cómo los atacantes comprometieron la cuenta corporativa del ingeniero. Así las cosas, esta parecer ser otra noticia en desarrollo!
