中国のハッカー Storm-0558：Windows クラッシュダンプから署名キーを窃取と判明

Hackers stole Microsoft signing key from Windows crash dump

2023/09/06 BleepingComputer — 中国人ハッキング・グループ Storm-0558 は、Microsoft のエンジニアの企業アカウントを侵害した後に、Windows のクラッシュダンプから署名キーを盗み出し、政府機関の電子メール・アカウントに侵入していた。攻撃者は盗んだ MSA キーを使って、米国の国務省や商務省など含む、約 20の組織の Exchange Online／Azure Active Directory (AD) アカウントに侵入したとされる。Storm-0558 は、GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用し、署名されたアクセス・トークンを偽造し、標的である組織内のアカウントになりすましていた。

Windows クラッシュ・ダンプ・ダイビング

Storm-0558 の攻撃を調査していた Microsoft は、2021年4月にコンシューマー向け署名システムがクラッシュした後に、MSA キーがクラッシュ・ダンプに流出していたことを発見した。

このクラッシュ・ダンプに署名キーが含まれことは論外であるが、競合状態が発生したことで、その中に署名キーが追加されてしまったようだ。その後に、このクラッシュ・ダンプは、同社の隔離されたプロダクション・ネットワークから、インターネットに接続された企業のデバッグ環境へと移動していった。

この、2021年4月のクラッシュ・ダンプに取り込まれた署名キーにアクセスできる、Microsoft のエンジニアの企業アカウントの侵害に成功した脅威アクターたちは、
その後にキーを発見することになった。

今日の時点で Microsoft は、「この脅威アクターによる署名キーの流出の示す具体的な証拠は、ログの保存ポリシーと合致しないため存在しない。しかし、この脅威アクターが署名キーを入手したという事実から推測すると、このシナリオが機能したと考えるべきだろう。しかし、私たちのクレデンシャル・スキャン方法では、このキーの存在は検出されなかった。なお、この問題は、すでに修正されている」と述べている。

Microsoft クラウド・サービスへの広範なアクセス

2023年7月に、このインシデントを Microsoft が際には、影響を受けたのは Exchange Online と Outlook だけだとされていた。しかし、その後に、Wiz のセキュリティ研究者である Shir Tamari は、漏洩したコンシューマ署名キーの悪用により、Microsoft  のクラウド・サービス全般に、Storm-0558 はアクセスできるようになったと述べている。

Tamari が述べるように、このキーは、影響を受けた顧客だけではなく、Microsoft クラウド・ベース・アプリ内のあらゆるアカウントのなりすましに悪用できる。

彼は、「その対象として列挙されるのは、Outlook／SharePoint／OneDrive／Teams などの管理された Microsoft アプリケーションや、Microsoft アカウント認証をサポートしている顧客のアプリケーションであり、その中には “Login with Microsoft” 機能を許可している顧客も含まれる。なお、古い公開キーの証明書に関しては、2016年4月5日に発行され、2021年4月4日に失効したことが判明した」と述べている。

また、Wiz の CTO／Cofounder である Ami Luttwak も、「Microsoft の世界では、あらゆるものへのアクセスに、Azure Active Directory の認証トークンが使用されている。Azure AD の署名キーを持つ攻撃者は、想像できる限り最も強力な攻撃者であり、ほぼ全てのアプリに、あらゆるユーザーの権限でアクセスでき。それは究極のサイバー・インテリジェンスである “shape shifter'” 超能力である」と、BleepingComputer に述べている。

その後に Microsoft は、「漏洩した鍵は個人アカウントを受け入れるアプリをターゲットにした場合にのみ使用可能であり、中国のハッカーにより検証エラーが悪用された」と語っている。

このセキュリティ侵害を受けた Microsoft は、他の漏洩したキーに対して脅威アクターがアクセスできないようにするために、有効な MSA 署名キーをすべて取り消した。この措置により、新たなアクセストークンを生成する新たな試みも効果的に阻止された。さらに同社は、最近になって生成されたアクセス・トークンを、同社のエンタープライズ・システムで使用されているキー・ストアへと移行した。

盗まれた署名キーを失効させた後の Microsoft は、認証トークンを偽造するために同じテクノロジーを用いて、顧客アカウントに対して不正アクセスを行うという、新たな証拠は掴めていないという。

また、CISA からの圧力に押された Microsoft は、将来における同様の侵害を、ネットワーク防御者が検知できるようにするために、クラウドのロギング・データへのアクセスを無料で拡大することに同意した。

これ以前おいては、それらロギング機能は、Purview Audit (Premium) ロギング・ライセンスを持つ顧客のみが利用可能だった。その結果として、ユーザー組織が Storm-0558 攻撃を迅速に検知することを、 Microsoft は妨げていると非難されていた。

Storm-0558 による Windows 署名キー窃取の手口が、ようやく判明したようです。一連のインシデントにおける第一報は、2023/07/11 の「Microsoft Account コンシューマ署名キーの悪用：中国由来のハッカーが米政府の Eメールを侵害」でした。よろしければ、Storm-0558 で検索も、ご利用ください。