La clé de compte Microsoft volée provient d'un crash dump de Windows (update)

Mise à jour du 12 septembre 2023: La clé volée avec laquelle le gang chinois Storm-0558 a accédé à des comptes Microsoft en juillet 2023 provient apparemment d'un crash dump, c'est-à-dire d’un fichier dans lequel est enregistré une copie de la mémoire vive et des registres d'un processeur, pour le diagnostic d'erreurs. C'est ce que révèlent les analyses de Microsoft, rapportées par la firme dans un récent billet de blog. 

L'entreprise aurait remarqué lors de ses investigations que la clé MSA concernée avait fuité dans un crash dump après qu'un système de signature pour les consommateurs soit tombé en panne en avril 2021. En principe, la clé ne devait pas figurer dans le dump, mais par une série de coïncidences, elle y est restée et n'a pas été exclue comme elle doit normalement l'être. Une «condition de course» (deux ou plusieurs threads d'un programme accèdent simultanément à la même ressource) a permis à la clé de se retrouver dans l'extrait de mémoire. D'autres mécanismes lors du déplacement des données ont permis d'éviter que des données sensibles, telles que des données d'accès, ne se retrouvent dans des zones moins sécurisées. Ces mécanismes n'auraient toutefois pas reconnu la clé. 

L'extrait de mémoire a ensuite été déplacé du réseau de production isolé de l'entreprise vers l'environnement de débogage de l'entreprise connecté à Internet. Les pirates auraient ensuite trouvé la clé après avoir réussi à compromettre le compte d'entreprise d'un ingénieur de Microsoft. «En raison des politiques de conservation des journaux, nous n'avons pas de journaux avec des preuves spécifiques de cette exfiltration par cet acteur, mais c'était le mécanisme le plus probable par lequel l'acteur a acquis la clé", explique Microsoft dans son billet de blog. Nos méthodes d'analyse des informations d'identification n'ont pas détecté sa présence».  

News originale du 14 août 2023: Violation de services Microsoft par des pirates chinois

Une attaque de pirates informatiques présumés chinois a permis à ces derniers d’obtenir une clé cryptographique interne de Microsoft. Les conséquences de cet incident touchent les entreprises et inquiète aussi le gouvernement US concernant un possible cyberespionnage. Le comité d'examen de la cybersécurité du ministère de la sécurité intérieure (CSRB) a ainsi annoncé qu’il se penche sur la récente intrusion de Microsoft Exchange Online.

L'attaque a été révélée par Microsoft le 11 juillet dernier, qui a ensuite mis à jour les informations la concernant le 14 juillet. Le fournisseur indique que Storm-0558, qualifié de gang de cyberpirates basé en Chine avec des objectifs d'espionnage, a utilisé de faux tokens d'authentification pour accéder aux courriels d'utilisateurs d'environ 25 organisations, y compris des agences gouvernementales. Les analystes de Microsoft ont ensuite découvert que ces tokens d'accès avaient été créés à l’aide  «d'une clé de signature de consommateur de compte Microsoft (MSA) acquise».  

The Register rapporte que les cyber espions ont pu se connecter aux comptes de messagerie en nuage de Microsoft utilisés par des fonctionnaires du gouvernement américain, dont la secrétaire au commerce Gina Raimondo. Les boîtes de réception de l'ambassadeur américain en Chine et du secrétaire d'Etat adjoint pour l'Asie de l'Est auraient aussi été compromises. 

Selon les recherches de la firme de cybersécurité Wiz, alors que selon Microsoft seul les services Outlook.com et Exchange Online étaient affectés, le spectre des applications potentiellement compromises par cette attaque seraient en fait bien plus large et pourrait concerner d'autres applications Azure Active Directory (dont SharePoint, Teams ou OneDrive). 

Microsoft a pris des mesures et révoqué la clé de chiffrement concerné. Les chercheurs de Wiz ajoutent cependant qu’il est toutefois possible qu'avec les accès précédemment obtenus les cyber espions soient parvenus à installer des portes dérobées ou établir une menace persistante dans les systèmes visés.