Vendredi, Microsoft a tenté d’expliquer la cause d’une violation qui a permis à des pirates travaillant pour le gouvernement chinois d’accéder aux comptes de messagerie de 25 organisations, dont les départements d’État et du Commerce américains et d’autres organisations sensibles.
Dans un article publié vendredi, la société a indiqué que la compromission résultait de trois vulnérabilités exploitées dans son service de messagerie Exchange Online ou Azure Active Directory, un service d’identité qui gère l’authentification unique et l’authentification multifacteur pour les grandes organisations. L’équipe Threat Intelligence de Microsoft a déclaré que Storm-0558, une équipe de piratage basée en Chine qui espionne au nom du gouvernement de ce pays, les a exploités à partir du 15 mai. Microsoft a chassé les attaquants le 16 juin après qu’un client a informé les chercheurs de l’entreprise du intrusion.
Avant tout : évitez le mot Z
Dans le langage courant des professionnels de la sécurité, cela signifie que Storm-0558 a exploité les zero-days dans les services cloud de Microsoft. Un « zero-day » est une vulnérabilité connue ou exploitée par des tiers avant que le fournisseur n’ait un correctif pour cela. « Exploiter » signifie utiliser du code ou d’autres moyens pour déclencher une vulnérabilité d’une manière qui cause un préjudice au fournisseur ou à d’autres.
Alors que les deux conditions sont clairement remplies dans l’intrusion Storm-0558, le message de vendredi et deux autres publiés par Microsoft mardi, se plient en quatre pour éviter les mots « vulnérabilité » ou « zero-day ». Au lieu de cela, l’entreprise utilise des termes beaucoup plus amorphes tels que « problème », « erreur » et « défaut » lorsqu’elle tente d’expliquer comment les pirates informatiques des États-nations ont suivi les comptes de messagerie de certains des plus gros clients de l’entreprise.
« Une analyse approfondie de l’activité d’Exchange Online a révélé qu’en fait l’acteur falsifiait des jetons Azure AD à l’aide d’une clé de signature de consommateur de compte Microsoft (MSA) acquise », ont écrit vendredi des chercheurs de Microsoft. « Cela a été rendu possible par une erreur de validation dans le code Microsoft. »
Plus tard dans l’article, les chercheurs ont déclaré que Storm-0558 avait acquis une clé de signature inactive utilisée pour les comptes cloud grand public et avait réussi à l’utiliser pour forger des jetons pour Azure AD, un service cloud soi-disant fortifié qui, en fait, stocke les clés que des milliers des organisations utilisent pour gérer les connexions des comptes sur leurs réseaux internes et ceux basés sur le cloud.
« La méthode par laquelle l’acteur a acquis la clé fait l’objet d’une enquête en cours », indique le message. « Bien que la clé ne soit destinée qu’aux comptes MSA, un problème de validation a permis de faire confiance à cette clé pour la signature des jetons Azure AD. »
Deux paragraphes plus tard, Microsoft a déclaré que Storm-0558 avait utilisé le jeton falsifié pour accéder aux comptes de messagerie Exchange via une interface de programmation pour Outlook Web Access (OWA). Les chercheurs ont écrit :
Une fois authentifié via un flux client légitime utilisant le jeton falsifié, l’auteur de la menace a accédé à l’API OWA pour récupérer un jeton pour Exchange Online à partir de l’API GetAccessTokenForResource utilisée par OWA. L’acteur a pu obtenir de nouveaux jetons d’accès en présentant un précédemment issu de cette API en raison d’un défaut de conception. Cette faille dans GetAccessTokenForResourceAPI a depuis été corrigée pour n’accepter que les jetons émis respectivement par Azure AD ou MSA. L’acteur a utilisé ces jetons pour récupérer les messages électroniques de l’API OWA.
Un résumé en clair de l’événement semblerait être : Microsoft a corrigé trois vulnérabilités dans son service cloud qui ont été découvertes après que Storm-0558 les ait exploitées pour accéder aux comptes clients. Il serait également utile que Microsoft fournisse une désignation de suivi dans le cadre du système CVE (Common Vulnerabilities and Exposures) comme le font les autres sociétés de cloud. Alors pourquoi Microsoft ne fait-il pas la même chose ?
« Je ne pense pas que Microsoft reconnaisse jamais les vulnérabilités de ses services cloud (il n’y a pas non plus de CVE pour le cloud), et vous ne dites pas de violation chez Microsoft », a déclaré le chercheur indépendant Kevin Beaumont sur Mastodon. «Ils ont dit« exploiter »dans le blog MSRC original en relation avec les services cloud de Microsoft, et vous exploitez une vulnérabilité. Je pense donc qu’il est juste de dire que, oui, ils avaient des vulnérabilités. »
Microsoft a publié le commentaire suivant : « Nous n’avons aucune preuve que l’acteur a exploité un 0day. » Microsoft n’a pas précisé. Dans l’un des deux messages publiés mardi, Microsoft a déclaré : « L’acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d’Azure AD et accéder au courrier de l’entreprise ». Ars a demandé des éclaircissements sur ce qui a été exploité exactement par l’acteur menaçant.
Sécurité payante
En plus d’être opaque sur la cause profonde de la violation et son propre rôle dans celle-ci, Microsoft est sous le feu des critiques pour avoir dissimulé des détails que certaines des victimes auraient pu utiliser pour détecter l’intrusion, ce que les critiques ont appelé « la sécurité payante ». Selon la US Cybersecurity and Information Security Agency, une agence fédérale qui a été violée par Storm-0558, elle a découvert l’intrusion via des journaux d’audit qui suivent les connexions et d’autres événements importants affectant les comptes cloud Microsoft des clients.
Cependant, Microsoft exige que les clients paient des frais supplémentaires pour accéder à ces enregistrements. Le coût d’une licence d’entreprise « E5 » permettant un tel accès est de 57 USD par mois et par utilisateur, contre un coût de licence E3 de 36 USD par mois et par client.
« Le fait que Microsoft n’autorise que ceux qui paient l’argent supplémentaire pour la licence E5 à voir les fichiers journaux pertinents est, eh bien, quelque chose… » Will Dorman, analyste principal senior chez Analygence, a déclaré dans une interview. « Si vous n’êtes pas un client payant E5, vous perdez la possibilité de voir que vous avez été compromis. »
Alors que les divulgations de Microsoft ont été moins que claires dans le rôle que ses vulnérabilités ont joué dans la violation des comptes des organisations, la divulgation de vendredi fournit des indicateurs utiles que les gens peuvent utiliser pour déterminer s’ils ont été ciblés ou compromis par Storm-0558.