En medio de las crecientes tensiones entre Estados Unidos y China, Microsoft reveló cómo un grupo de hackers chino, conocido como Storm-0558, pudo acceder a cuentas de correo electrónico gubernamentales en Estados Unidos.
La compañía dijo que el grupo “utilizó una clave MSA adquirida para falsificar tokens para acceder a OWA y Outlook.com “.
“El actor aprovechó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo empresarial”, agregó.
Microsoft inició una investigación sobre cómo se adquirió la clave MSA (Cuenta de Microsoft) y cómo una clave de consumidor podía acceder a las cuentas de correo electrónico empresariales de Outlook.
En este sentido, explicó: “Una investigación descubrió que un fallo del sistema de firma de consumidores en abril de 2021 dio lugar a una instantánea del proceso que se había bloqueado (“volcado de fallos”). Los volcados de fallos, que eliminan información sensible, no deberían incluir la clave de firma. En este caso, una condición de carrera permitió que la clave estuviera presente en el volcado de fallos (este problema se ha corregido). Nuestros sistemas no detectaron la presencia de la clave en el volcado de fallos”.
En este sentido, la empresa agregó que los datos de volcado de fallos “se trasladaron de la red de producción aislada a nuestro entorno de depuración en la red corporativa conectada a Internet”, que era el procedimiento estándar. Sin embargo, un análisis de los datos de volcado de fallos no detectó la clave MSA.
La compañía cree que Storm-0558 fue capaz de obtener la clave MSA de los datos de volcado de fallos comprometiendo una cuenta corporativa de uno de los ingenieros de Microsoft. No hay pruebas directas de esto que apunten a una cuenta específica comprometida, pero Microsoft sí cree que “este fue el mecanismo más probable por el que el actor adquirió la clave.”
Por último, la empresa cree que Storm-0558 fue capaz de duplicar la clave MSA y convertirla en una que se utilizó para acceder a las cuentas de correo electrónico de la empresa debido a un error en la actualización de una API.
Tal vez te interese: El FBI advierte a las empresas espaciales que tengan cuidado de China y Rusia