Chinese hackers forged authentication tokens to breach government emails
2023/07/11 HelpNetSecurity — Microsoft Account (MSA) のコンシューマ署名キーを取得した高度なハッカーが、偽造した認証トークンを介して、政府の組織や機関の電子メール・アカウントにアクセスしていたことが、Microsoft により公表された。このインシデントに関連付けられる脅威アクターは、Microsoft が Storm-0558 と呼ぶ、中国を拠点とする敵対者である。この脅威アクターは、情報収集のために電子メール・システムにアクセスする、スパイ行為に重点を置いているとされる。
このハッキング・グループは、主に西ヨーロッパの政府機関を標的にしている、と Microsoft は付け加えている。その一方で The Washington Post は、今回の攻撃では、機密扱いになっていない、米国の電子メール・アカウントも多数侵害されたとしている。
ハッカーはトークン検証の問題を悪用した
Microsoft は顧客からの通報を受け、2023年6月16日に異常なメール活動の調査を開始した。その結果として、その前日からアカウント侵害は始まっており、攻撃者は 25 の組織の従業員の電子メール・アカウントと、それらの組織に関連する個人の消費者アカウントへのアクセスに成功したことが判明した。攻撃者は Exchange Online (OWA) と Outlook.com の Outlook Web Access 経由でアクセスしたようだ。
Microsoft は、「コンシューマー・キーである MSA と、エンタープライズ・キーである Azure AD は、別々のシステムから発行され管理されており、それぞれのシステムでのみ有効であるべきだ。この脅威アクターはトークン検証の問題を悪用して、Azure AD ユーザーになりすまし、企業メールにアクセスした。この脅威アクターにより、Azure AD キーや、その他の MSA キーが使用された形跡はない。この脅威アクターが取得した MSA キーで、偽造されたトークンが使用されたことを確認した唯一のサービスは、OWA と Outlook.com である」と説明している。
Microsoft は、この攻撃から身を守るために、顧客として行うべきことは何もないとしている。同社は、このキーで発行された悪意を持って署名されたトークンの使用をブロックし、その交換を実施するという緩和策で対処した。しかし、悪用されたトークンの検証問題を修正したことについては、言及されていない。
標的とされた、または、侵害された全ての組織は、テナント管理者を通じて Microsoft からダイレクトに連絡を受け、調査と対応に役立つ情報を提供されている。同社は、「連絡がない場合には、我々の調査による影響は受けていないと判断してほしい。また、新しい詳細と推奨事項を適宜共有する」と述べている。
7月11日 (火) にも同社は、Microsoft Windows Hardware Developer Program (MWHDP) を悪用する攻撃者が、悪意のあるドライバーに署名していることを公表した上で、実際に悪用されている各種のゼロデイに対する修正プログラムをリリースしている。
Microsoft が Storm-0558 として追跡している中国由来の脅威アクターが、トークン検証の問題を悪用して、Azure AD ユーザーになりすまし、企業メールにアクセスしたとのことです。以下の関連の記事および、Azure AD で検索も、ご利用ください。
2023/06/24:Grafana の CVE-2023-3128:Azure AD 統合による問題
2023/05/20:OAuth に深刻な問題:認証の目的での “email” クレーム
2021/01/27:Outlook と Azure AD を悪用するフィッシング
IoT OT Security News 
You must be logged in to post a comment.