Microsoft กล่าวว่าผู้ไม่ประสงค์ดี Storm-0558 ขโมย Signing Key
เพื่อใช้ในการโจมตีบัญชีอีเมล ของรัฐบาลจาก Windows Crash Dump
ผู้ไม่ประสงค์ดีใช้ MSA key ที่ถูกขโมยไปเพื่อโจมตี Exchange Online
และ Azure Active Directory (AD) ขององค์กร รวมถึงหน่วยงานรัฐบาลในสหรัฐอเมริกา
เช่น กระทรวงการต่างประเทศและกระทรวงพาณิชย์ของสหรัฐอเมริกา
การโจมตีใช้ประโยชน์จากช่องโหว่ในการตรวจสอบความถูกต้องแบบ Zero-day
ที่ถูกอัปเดตแพทช์แล้วใน GetAccessTokenForResourceAPI
ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Access Tokens และปลอมแปลงเป็นบัญชีภายในองค์กรเป้าหมายได้
Microsoft ตรวจสอบการโจมตีของ Storm-0558 พบว่า MSA key
รั่วไหลไปยัง Crash Dump หลังจากระบบ Consumer Signing เกิดการขัดข้องในเดือนเมษายน 2021
ผู้ไม่ประสงค์ดีพบ key หลังจากโจมตีบัญชีบริษัทของวิศวกร Microsoft
ซึ่งสามารถเข้าถึงการแก้ไขช่องช่องโหว่ที่มีคีย์รวมไว้ในไฟล์ Crash Dump ได้
Microsoft กล่าวว่าเหตุการณ์ในเดือนกรกฎาคมว่ามีเพียง Exchange Online และ Outlook
เท่านั้นที่ได้รับผลกระทบโดย Shir Tamari นักวิจัยของ Wiz กล่าวในภายหลังว่า Consumer signing key
ของ Microsoft ที่ถูกขโมยทำให้ Storm-0558 เข้าถึงบริการคลาวด์ของ Microsoft ได้อย่างกว้างขวาง
Microsoft ได้แก้ไขปัญหาโดยการเพิกถอน MSA signing keys ทั้งหมดเพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีเข้าถึงคีย์อื่นๆที่ถูกขโมย และขั้นตอนนี้ยังปิดกั้นการสร้าง Access Tokens ได้อย่างมีประสิทธิภาพ
นอกจากนี้ Microsoft ยังย้าย Access Tokens ที่สร้างขึ้นล่าสุดไปยัง Key Store ที่ใช้โดยระบบองค์กร
Ref: https://www.bleepingcomputer.com/news/microsoft/hackers-stole-microsoft-signing-key-from-windows-crash-dump/