Microsoft ne sait toujours pas – ou ne veut toujours pas partager – comment des pirates soutenus par la Chine ont volé une clé qui leur a permis de pénétrer furtivement dans des dizaines de boîtes de réception de courrier électronique, y compris celles appartenant à plusieurs agences gouvernementales fédérales.
Dans un article de blog vendredi, Microsoft a déclaré qu’il s’agissait d’une « enquête en cours » sur la façon dont les pirates ont obtenu une clé de signature Microsoft qui a été utilisée de manière abusive pour forger des jetons d’authentification permettant aux pirates d’accéder aux boîtes de réception comme s’ils en étaient les propriétaires légitimes. Les rapports indiquent que les cibles incluent la secrétaire américaine au Commerce, Gina Raimondo, des responsables du département d’État américain et d’autres organisations qui n’ont pas encore été révélées publiquement.
Microsoft a révélé l’incident mardi dernier, attribuant l’activité d’un mois à un groupe d’espionnage nouvellement découvert qu’il appelle Storm-0558, qui, selon lui, a un lien étroit avec la Chine. L’agence américaine de cybersécurité CISA a déclaré que les piratages, qui ont commencé à la mi-mai, incluaient un petit nombre de comptes gouvernementaux censés être à un chiffre et que les pirates avaient exfiltré des données de courrier électronique non classifiées. Bien que le gouvernement américain n’ait pas publiquement attribué les piratages, le porte-parole du ministère chinois des Affaires étrangères a démenti les allégations mercredi.
Alors que la Chine a utilisé des vulnérabilités jusque-là inconnues pour pirater individuellement des serveurs de messagerie Microsoft afin de voler des données d’entreprise, ce groupe de piratage est plutôt allé directement à la source en ciblant de nouvelles vulnérabilités non divulguées dans le cloud de Microsoft.
Dans son article de blog, Microsoft a déclaré que les pirates avaient acquis l’une de ses clés de signature grand public, ou clé MSA, que l’entreprise utilise pour sécuriser les comptes de messagerie des consommateurs, comme pour accéder à Outlook.com. Microsoft a déclaré qu’il pensait initialement que les pirates falsifiaient des jetons d’authentification à l’aide d’une clé de signature d’entreprise acquise, qui sont utilisées pour sécuriser les comptes de messagerie d’entreprise et d’entreprise. Mais Microsoft a découvert que les pirates utilisaient cette clé MSA grand public pour forger des jetons leur permettant de pénétrer dans les boîtes de réception de l’entreprise. Microsoft a déclaré que cela était dû à une « erreur de validation dans le code Microsoft ».
Microsoft a déclaré avoir bloqué « toute l’activité des acteurs » liée à cet incident, suggérant que l’incident est terminé et que les pirates ont perdu l’accès. Bien qu’il ne soit pas clair comment Microsoft a perdu le contrôle de ses propres clés, la société a déclaré qu’elle avait renforcé ses systèmes d’émission de clés, probablement pour empêcher les pirates de produire une autre clé squelette numérique.
Les pirates ont fait une erreur clé. En utilisant la même clé pour piller plusieurs boîtes de réception, Microsoft a déclaré que cela permettait aux enquêteurs « de voir toutes les demandes d’accès des acteurs qui suivaient ce modèle à la fois dans nos systèmes d’entreprise et grand public ». À savoir, Microsoft sait qui a été compromis et a déclaré avoir informé les personnes concernées.
La menace immédiate étant considérée comme terminée, Microsoft fait maintenant l’objet d’un examen minutieux pour sa gestion de l’incident, considéré comme la plus grande violation de données gouvernementales non classifiées depuis la campagne d’espionnage russe qui a piraté SolarWinds en 2020.
Comme l’a noté Dan Goodin d’Ars Technica, Microsoft s’est donné beaucoup de mal pour limiter les dégâts dans son article de blog, en évitant des termes tels que « zero-day », faisant référence au moment où un fabricant de logiciels a un préavis de zéro jour pour corriger une vulnérabilité qui a déjà été exploitée. . Que le bogue ou son exploitation corresponde ou non à la définition que tout le monde a d’un jour zéro, Microsoft s’est efforcé d’éviter de le décrire comme tel, ou même de l’appeler une vulnérabilité.
Le manque de visibilité sur les intrusions des ministères eux-mêmes a aggravé la fuite des clés et son utilisation abusive. Microsoft s’en prend également à la réservation de journaux de sécurité pour les comptes gouvernementaux avec le package de premier plan de l’entreprise qui a peut-être aidé d’autres intervenants en cas d’incident à identifier les activités malveillantes.
CNN a d’abord signalé que le Département d’État avait initialement détecté la violation et l’avait signalée à Microsoft. Mais tous les ministères n’avaient pas le même niveau de journalisation de sécurité, qui, selon le Wall Street Journal, était disponible pour les ministères disposant de comptes Microsoft de niveau supérieur, mais pas pour les autres. Mary Jo Foley, rédactrice en chef de Directions on Microsoft, une société de conseil pour les clients de Microsoft, a déclaré lundi dans un article de blog que le niveau gouvernemental inférieur offre une certaine journalisation, mais « ne garde pas une trace des données spécifiques de la boîte aux lettres qui auraient révélé l’attaque .” Un responsable de la CISA a critiqué le manque de journalisation disponible lors d’un appel avec des journalistes la semaine dernière. Microsoft a déclaré au Journal qu’il « évaluait les commentaires ».
La divulgation élargie de Microsoft vendredi a offert une lueur de détails plus techniques et d’indicateurs de compromis que les intervenants en cas d’incident peuvent vérifier si leurs réseaux étaient ciblés, le géant de la technologie a encore des questions à répondre. Que Microsoft ait ou non les réponses prêtes, il est peu probable que ce soit une enquête que le géant de la technologie puisse ébranler de si tôt.