Microsoft ha publicado los resultados de su investigación sobre la adquisición de una clave de firma de consumidor de una cuenta Microsoft (MSA) por parte del actor de amenazas con sede en China. Tormenta-0558 – explotar infamemente el sistema a través de un problema de validación de día cero en GetAccessTokenForResourceAPI que ahora ha sido parcheado.
Microsoft tiene un sistema que genera claves que se utilizan para firmar y verificar tokens de autenticación para cuentas de Microsoft. Estas claves son muy importantes y deben mantenerse en secreto, como informó por primera vez pitidocomputadora.
Sin embargo, en abril de 2021 hubo un problema con el sistema que generaba estas claves. Este problema provocó que se incluyera una clave en un archivo de volcado de memoria. Este archivo de volcado de memoria no debería haber incluido la clave, pero el problema provocó que estuviera allí de todos modos.
“Nuestra investigación encontró que una falla del sistema de firma del consumidor en abril de 2021 resultó en una instantánea del proceso bloqueado (“volcado de emergencia”). Los volcados de memoria, que eliminan información confidencial, no deben incluir la clave de firma. En este caso, una condición de carrera permitió que la clave estuviera presente en el volcado de memoria (este problema se ha corregido). Nuestros sistemas no detectaron la presencia del material clave en el volcado de emergencia (este problema ha sido corregido)”, se lee en el informe.
Posteriormente, el volcado de memoria se trasladó de la red de producción aislada al entorno de depuración en la red corporativa conectada a Internet. El actor Storm-0558 pudo comprometer la cuenta corporativa de un ingeniero de Microsoft, que tenía acceso al entorno de depuración. Se cree que así fue como el actor adquirió la clave.
La investigación también encontró que una mala configuración en las bibliotecas de autenticación de Microsoft permitió que se utilizara la clave del consumidor para acceder al correo electrónico empresarial. Este problema también se ha corregido.
