Últimas noticias

Guía MV Agusta 921S 2023 • Motocicleta total

Trío de camping en coche de Ford

May 27, 2023

Por qué necesitamos reinventar nuestros océanos

May 28, 2023

Vídeo: Mike Phillips estampa en Quade Cooper

May 29, 2023

Vea cómo un año de emisiones de carbono se apodera del planeta

May 30, 2023

Microsoft ofrece más información sobre cómo los piratas informáticos chinos obtuvieron acceso a cuentas de correo electrónico del gobierno

Jun 15, 2023

John Callaham Neowin @JCalNEO · 17 de julio de 2023 08:48 EDT con 0 comentarios

La semana pasada, Microsoft informó que un grupo de piratas informáticos chinos obtuvo acceso a cuentas de correo electrónico gubernamentales en Estados Unidos y Europa. Específicamente, el grupo de piratas informáticos ingresó a cuentas de correo electrónico que utilizaban Outlook Web Access de Microsoft en Exchange Online y también en Outlook.com.

En una publicación de blog de seguimiento, Microsoft ofreció más detalles sobre cómo este grupo, conocido como Storm-0558, logró obtener acceso a estas cuentas utilizando el sistema en línea de la compañía. Microsoft declaró:

Storm-0558 adquirió una clave de firma de consumidor de MSA inactiva y la utilizó para falsificar tokens de autenticación para que las empresas de Azure AD y los consumidores de MSA accedieran a OWA y Outlook.com. Todas las claves MSA activas antes del incidente, incluida la clave de firma MSA adquirida por el actor, han sido invalidadas. Las claves de Azure AD no se vieron afectadas. El método por el cual el actor adquirió la clave es un tema de investigación en curso. Aunque la clave estaba destinada únicamente a cuentas de MSA, un problema de validación permitió que se confiara en esta clave para firmar tokens de Azure AD. Este problema ha sido corregido.

El blog también explica cómo el grupo de hackers utilizó esta clave de firma para obtener acceso a la versión web de Outlook:

Una vez autenticado a través de un flujo de cliente legítimo que aprovecha el token falsificado, el actor de amenazas accedió a la API de OWA para recuperar un token para Exchange Online de la API GetAccessTokenForResource utilizada por OWA. El actor pudo obtener nuevos tokens de acceso presentando uno emitido previamente desde esta API debido a un fallo de diseño. Desde entonces, esta falla en GetAccessTokenForResourceAPI se ha solucionado para aceptar solo tokens emitidos desde Azure AD o MSA, respectivamente. El actor utilizó estos tokens para recuperar mensajes de correo de la API de OWA.

Como parte de sus esfuerzos por solucionar este problema, Microsoft ha realizado algunos cambios en sus procedimientos:

Esto incluye un mayor aislamiento de los sistemas, un monitoreo refinado de la actividad del sistema y el traslado al almacén de claves reforzado utilizado para nuestros sistemas empresariales. Hemos revocado todas las claves previamente activas y emitido nuevas claves utilizando estos sistemas actualizados. Nuestra investigación activa indica que estas mejoras de endurecimiento y aislamiento alteran los mecanismos que creemos que el actor podría haber utilizado para adquirir claves de firma de MSA.

Microsoft dice que no es necesaria ninguna acción por parte de sus clientes web de Outlook, ya que afirma que "toda la actividad de los actores relacionada con este incidente ha sido bloqueada". Agregó que "continuará monitoreando la actividad de Storm-0558 e implementará protecciones para nuestros clientes".

John Callaham · 25 de agosto de 2023 con 1 comentario

John Callaham · 6 de marzo de 2023 con 18 comentarios

Rahul Naskar · 14 de octubre de 2022 con 0 comentarios

Rahul Naskar · 7 de julio de 2022 con 1 comentario

Anterior: Conoce a Lauren Marie Sesselmann, la deslumbrante ex Próximo: Capa de roca fundida oculta encontrada debajo de las placas tectónicas de la Tierra

Enviar Consulta

Enviar