Azure AD 署名キーが盗まれた方法:依然として不明だと Microsoft が公表

Microsoft still unsure how hackers stole Azure AD signing key

2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。


この攻撃に関する調査を、6月16日に開始した Microsoft は、同社が Storm-0558 として追跡している中国のサイバースパイ・グループが、およそ 25の組織 (米国務省や商務省を含むとされる) の電子メール・アカウントに侵入したことを突き止めた。

この脅威アクターは、GetAccessTokenForResource API の欠陥を悪用して新しい認証トークンを偽造するために、盗み出した Azure AD エンタープライズ署名キーを使用し、ターゲットのエンタープライズ・メールへのアクセスを成功させた。

Storm-0558 は、PowerShell と Python スクリプトを用いて、OWA Exchange Store サービスへの REST API コールを介して新しいアクセス・トークンを生成し、電子メールと添付ファイルを盗むことが可能だったという。しかし Microsoft は、先月の Exchange Online データ盗難攻撃で、この手法が使用されたかどうかは確認していない。

そして今日になって Microsoft は、「当社のテレメトリー測定と調査によると、攻撃後の活動は、標的となったユーザーの電子メールに対するクセスと流出に限られていた」と付け加えた。

7月3日に同社は、影響を受けた全ての顧客の盗まれた秘密署名キーの使用をブロックし、攻撃者のトークン・リプレイ・インフラは、その翌日にシャットダウンされたとしている。

Azure AD トークンの偽造を阻止するために MSA 署名キーを失効

6月27日に Microsoft は、新しいアクセス・トークンを生成する全て試みをブロックするために、全ての有効な MSA 署名鍵を失効させ、新たに生成されたものをエンタープライズ・システムに使用している鍵ストアへと移動させている。

Microsoft は、「この脅威アクターが取得した MSA 署名鍵を無効にして以来、この鍵に関連するアクターの活動は観測されていない」と述べている。

その一方で同社は、すべての有効な MSA 署名鍵を失効させ、API の不具合を緩和した後に、この鍵に関連する Storm-0558 の悪質な活動は検出されていないが、今日のアドバイザリによると、現時点において攻撃者は、別の手口に切り替えているようだ。

Microsoft は、「この攻撃者が取得した MSA 署名鍵を無効にした以降において、この鍵に関連する攻撃者の活動は観測されていない。現時点において Storm-0558 は、他の手法に移行していることが確認されているが、この署名鍵を利用やアクセスは不可能になっている」と述べている。

7月11日 (火) に Microsoft は、ロシアのサイバー犯罪グループ RomCom が、リトアニアのヴィリニュスで開催された NATO サミットに参加する組織へのフィッシング攻撃で、まだパッチが適用されていない Office のゼロデイ脆弱性が悪用されたことも明らかにしている。RomCom のオペレーターは、NATO サミット主催者を装う悪意の Office 文書を用いて、MagicSpell ローダーや RomCom バックドアなどのマルウェア・ペイロードを展開した。

この、Azure AD 署名キーに関する問題については、2023/07/11 の「MS Account:中国由来のハッカーが政府の Eメールを侵害」に続く、第二報が出たようです。この、前回の記事で Microsoft は、「コンシューマー・キーである MSA と、エンタープライズ・キーである Azure AD は、別々のシステムから発行され管理されており、それぞれのシステムでのみ有効であるべきだ。この脅威アクターはトークン検証の問題を悪用して、Azure AD ユーザーになりすまし、企業メールにアクセスした」と述べています。