Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Entre mai et juin 2023, l'acteur de menace basé en Chine que Microsoft suit sous le nom de Storm-0558 a utilisé une clé de signature Microsoft grand public volée pour falsifier des jetons d'authentification et lire les courriels d'Outlook Web Access dans environ 25 organisations, dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. L'incident — et la longue et embarrassante chaîne de défaillances de contrôle internes qui l'a rendu possible — est devenu l'un des cas de sécurité cloud emblématiques de la décennie.

Ce qui s'est passé

Storm-0558 a obtenu une clé de signature de compte Microsoft (MSA) — du type utilisé pour signer des jetons pour les comptes Outlook grand public. L'acteur a ensuite exploité une faille dans la logique de validation de jetons d'Azure Active Directory qui permettait à une clé grand public de signer des jetons que les comptes d'entreprise (Exchange Online) accepteraient. Combinées, ces deux réalités ont permis à l'attaquant de générer des jetons d'authentification pour tout compte de messagerie d'entreprise visé.

La divulgation de Microsoft en septembre 2023 a décrit comment la clé grand public s'était retrouvée entre les mains des attaquants : un dump de plantage d'un processus de système de signature contenait par inadvertance la clé, le dump a transité vers l'environnement de débogage d'entreprise de Microsoft en violation des règles, le contrôle de frontière ne l'a pas détecté, et Storm-0558 — après avoir compromis le compte d'entreprise d'un ingénieur Microsoft — a pu atteindre l'environnement de débogage et très probablement exfiltrer la clé. Microsoft n'a pas pu produire de preuve directe de l'étape d'exfiltration parce que la rétention des journaux avait expiré.

Le Département d'État américain a signalé des anomalies à Microsoft le 16 juin 2023, déclenchant la mise sous contrôle. En juillet, Microsoft avait publié une analyse initiale ; en septembre, la revue post-incident technique. En avril 2024, le Cyber Safety Review Board (CSRB) américain a publié un rapport vivement critique qualifiant l'incident de « cascade d'erreurs évitables » — une formule saisissante de la part d'un organe gouvernemental d'examen.

Impact

Courriels Outlook Web Access d'environ 25 organisations lus par Storm-0558.
Cibles confirmées : Département d'État américain, Département du Commerce américain et ambassadeur des États-Unis en Chine.
Une clé de signature grand public a falsifié des jetons valables pour des comptes d'entreprise du fait d'une faille de validation de jetons.
La rétention des journaux a empêché la confirmation directe de la manière dont la clé a été exfiltrée.
Le CSRB américain a publié l'un des rapports post-incident les plus critiques jamais émis à l'égard d'un grand fournisseur cloud.

Pourquoi cela compte

Storm-0558 a réinitialisé les attentes en matière de garde des clés par les fournisseurs cloud : une seule clé de signature de niveau grand public mal placée, combinée à un bug de validation de jetons, a permis un espionnage de niveau étatique au Département d'État américain. La formule de Microsoft, « cascade d'erreurs » — et la revue cinglante du CSRB — sont devenues des points de référence pour la manière dont l'industrie conçoit désormais la sécurité des processus d'ingénierie à l'échelle des hyperscalers.

Chronologie

~2021-04

Une clé de signature de compte Microsoft grand public (MSA) est capturée dans un dump de plantage produit par un processus de système de signature. Le dump, en violation des règles, contient la clé. Le dump est transféré d'un environnement de production durci vers l'environnement de débogage d'entreprise de Microsoft et n'est pas détecté à cette frontière.

~2022

Storm-0558 compromet le compte d'entreprise d'un ingénieur Microsoft. Avec l'accès à l'environnement de débogage, l'acteur acquiert très probablement la clé de signature MSA divulguée. La rétention des journaux empêche une confirmation directe.

15 mai 2023

Storm-0558 commence à falsifier des jetons d'authentification en exploitant une faille de la logique de validation de jetons d'Azure AD qui permet à une clé grand public (MSA) de signer des jetons acceptés pour les comptes d'entreprise (Exchange Online). L'acteur lit les courriels d'Outlook Web Access dans environ 25 organisations, dont le Département d'État américain et le Département du Commerce.

16 juin 2023

Microsoft est avertie par le Département d'État américain de schémas anormaux d'accès aux courriels, identifie la campagne malveillante et entame la mise sous contrôle.

14 juillet 2023

Microsoft publie son analyse initiale des techniques de Storm-0558.

6 septembre 2023

Microsoft publie la grande enquête technique : la cascade d'erreurs qui a permis à une seule clé de signature grand public de falsifier des jetons acceptés à l'échelle entreprise.

1 avril 2024

Le Cyber Safety Review Board des États-Unis publie un rapport vivement critique qualifiant la chaîne de « cascade d'erreurs évitables » au sein même des processus d'ingénierie et de réponse à incident de Microsoft.

Sources

microsoft.comhttps://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/

microsoft.comhttps://www.microsoft.com/en-us/msrc/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition

techcrunch.comhttps://techcrunch.com/2023/09/08/microsoft-hacker-china-government-storm-0558/

helpnetsecurity.comhttps://www.helpnetsecurity.com/2024/04/03/microsoft-storm-0558-key/

computerweekly.comhttps://www.computerweekly.com/news/366551272/Microsoft-finds-Storm-0558-exploited-crash-dump-to-steal-signing-key

Incidents liés

EspionnageContenu4 octobre 2024

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim: Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)

RançongicielContenu8 décembre 2023

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim: Westpole / PA Digitale (plateforme Urbi)

RançongicielContenu9 novembre 2023

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim: ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss: $9.00B

Faille zero-dayRésolu31 mai 2023

Exploitation massive de MOVEit Transfer (Cl0p)

Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.

Victim: Progress Software MOVEit Transfer (2 700+ en aval)
Loss: $12.15B
Records: 95.0M