Azure AD Token Forging Technique in Microsoft Attack Extends Beyond Outlook, Wiz Reports
2023/07/21 TheHackerNews — Microsoft のEメールインフラに対する、中国の APT である Storm-0558 の攻撃だが、これまで考えられていたよりも、広範囲に及んでいることが、最近になって分かってきた。この攻撃の対象となっているのは、OneDrive/SharePoint/Teams などの個人アカウント認証をサポートする全てのアプリケーション、および、”Login with Microsoft functionality” をサポートするユーザー・アプリケーション、そして、特定の条件下でのマルチテナント・アプリケーションなどである。
![](https://iototsecnews.jp/wp-content/uploads/2023/07/wiz0.png?w=862)
Wiz の CTO/Co-Founder である Ami Luttwak は、「Microsoft の世界では、あらゆるものへのアクセスに、Azure Active Directory の認証トークンが利用されている。AAD の署名キーを持つ攻撃者は、最も強力な攻撃者だと想像できる。なぜなら、彼らは、ほぼ全てのアプリに対して、あらゆるユーザーとしてアクセスできるからだ。それは、”Shape Shifter” と呼ばれる強力な能力である」と述べている。
7月14日に Microsoft は、Storm-0558 によりトークンが偽造され、被害者のメール・ボックスから未分類のデータが抜き取られたことを公表した。このサイバースパイ・キャンペーンの詳細は、依然として不明のままだ。
![](https://iototsecnews.jp/wp-content/uploads/2023/07/wiz.png?w=1024)
依然として Microsoft は、脅威アクターが MSA コンシューマ署名キーを入手した方法については調査中だとしている。しかし、このキーが 20近い組織に属するデータへのアクセスを解除する、マスターキーのような役割を果たしたかどうかは不明だ。
Wiz の分析では、「すべての Azure パーソナル・アカウント v2.0 アプリケーションは、8つの公開キーのリストに依存しており、Microsoft アカウントを有効にした全ての Azure マルチテナント v2.0 アプリケーションは、7つの公開キーリストに依存している」ことが判明している。
![Azure Active Directory Azure Active Directory](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEghUDgoU-VKCs9ViiHpRNmx3Upb_pPJtFJCdNWm0TwxGOyEsxJ4ZGEXJWoahYOjL2_5PjzsadjnIZ1L3Jw87COYyBVCMMLrJRFbklaaZFK4pdP3L6bDS-4VasUlVvCClB0DwJiO2li7_HgT5sUVWiJXXKCTGHz3wliFOvdqdzquUfvZMuYDw8dI-TnGFxVn/s728-e3650/wiz.jpg)
さらに、Microsoft は、遅くとも 2016年から存在していた、リストアップされた公開キーの1つ ( d4b4cccda9228624656bff33d8110955779632aa) を、同社が MSA キーを失効させたと発表したのと同時期の、2023年6月27日〜2023年7月5日の間に置き換えていたことが判明した。
Wiz は、「このことから、Storm-0558 が入手したのは、Azure の Microsoft の MSA テナント用に設計されたシークレット・キーであり、複数の Azure Active Directory アプリケーション用の、OpenID v2.0トークンにも署名できたと考えられる。Storm-0558 は、AAD アクセス・トークンの署名/検証を目的とした複数の鍵のうちの1つに、アクセスを成功させたようだ。危殆化したキーは、個人アカウント/混合オーディエンス (マルチテナント/個人アカウント) AAD アプリケーション用の、あらゆる OpenID v2.0 アクセス・トークンに署名するために信頼されていた」と述べている。
つまり、Azure ID プラットフォームに依存する、あらゆるアプリケーションで使用するアクセス・トークンを、脅威アクターが偽造できることが、理論上可能になることを意味する。
さらに悪いことに、取得されたシークレット・キーは、Microsoft OpenID v2.0 混合オーディエンス証明書/個人アカウント証明書を信頼するアプリケーションに対して、任意のユーザーを認証するトークンを、偽造するために悪用される可能性がある。
Wiz のセキュリティ研究者である Shir Tamari は、「ID プロバイダーの署名キーは、おそらく現代世界で最も機密性の高い情報だ。ID プロバイダーの鍵があれば、あらゆるメール・ボックス/ファイル・サービス/クラウド・アカウントなどのへの、シングル・ホップ・アクセスを即座に得ることができる」と述べている。
この Azure AD を巡るインシデントですが、最初の報道は 2023/07/11 の「Microsoft Account コンシューマ署名キーの悪用:中国由来のハッカーが米政府の Eメールを侵害」であり、第二弾が 2023/07/14 の「Azure AD 署名キーが盗まれた方法:依然として不明だと Microsoft が公表」となっています。とても心配な状況です。
![](https://iototsecnews.jp/wp-content/uploads/2023/07/zt_11.png?w=840)
You must be logged in to post a comment.