Microsoft disse em Junho que um grupo de hackers apoiado pela China roubou uma chave criptográfica dos sistemas da empresa. Essa chave permitiu que os invasores acessassem sistemas de e-mail do Outlook baseados em nuvem para 25 organizações, incluindo várias agências governamentais dos EUA. No momento da divulgação, no entanto, a Microsoft não explicou como os hackers conseguiram comprometer uma chave tão sensível e altamente protegida, ou como conseguiram usar a chave para se mover entre sistemas de nível consumidor e empresarial. Mas um nova autópsia publicado pela empresa na quarta-feira explica uma cadeia de deslizes e descuidos que permitiram o ataque improvável.
Essas chaves criptográficas são importantes na infraestrutura de nuvem porque são usadas para gerar “tokens” de autenticação que comprovam a identidade de um usuário para acessar dados e serviços. A Microsoft afirma que armazena essas chaves confidenciais em um “ambiente de produção” isolado e com acesso estritamente controlado. Mas durante uma falha específica do sistema em abril de 2021, a chave em questão foi um passageiro clandestino incidental em um cache de dados que saiu da zona protegida.
“Todos os melhores hacks são mortes por 1.000 cortes de papel, e não algo em que você explora uma única vulnerabilidade e depois obtém todos os benefícios”, diz Jake Williams, um ex-hacker da Agência de Segurança Nacional dos EUA que agora faz parte do corpo docente do Institute for Applied Segurança de rede.
Após a falha fatídica de um sistema de assinatura do consumidor, a chave criptográfica acabou em um “despejo de memória” gerado automaticamente com dados sobre o que havia acontecido. Os sistemas da Microsoft foram projetados para que as chaves de assinatura e outros dados confidenciais não acabem em despejos de memória, mas essa chave escapou devido a um bug. Pior ainda, os sistemas criados para detectar dados errôneos em crash dumps não conseguiram sinalizar a chave criptográfica.
Com o crash dump aparentemente examinado e limpo, ele foi transferido do ambiente de produção para um “ambiente de depuração” da Microsoft, uma espécie de área de triagem e revisão conectada à rede corporativa regular da empresa. Mais uma vez, porém, uma varredura projetada para detectar a inclusão acidental de credenciais não conseguiu detectar a presença da chave nos dados.
Algum tempo depois de tudo isso ter ocorrido, em abril de 2021, o grupo de espionagem chinês, que a Microsoft chama de Storm-0558, comprometeu a conta corporativa de um engenheiro da Microsoft. Com essa conta, os invasores poderiam acessar o ambiente de depuração onde o despejo de memória e a chave malfadados estavam armazenados. A Microsoft diz que não possui mais registros desta época que mostrem diretamente a conta comprometida exfiltrando o crash dump, “mas este foi o mecanismo mais provável pelo qual o ator adquiriu a chave”. Armados com esta descoberta crucial, os invasores conseguiram começar a gerar tokens legítimos de acesso a contas da Microsoft.
Outra questão não respondida sobre o incidente foi como os invasores usaram uma chave criptográfica do registro de falhas de um sistema de assinatura de consumidor para se infiltrar nas contas de e-mail corporativo de organizações como agências governamentais. A Microsoft disse na quarta-feira que isso foi possível devido a uma falha relacionada a uma interface de programação de aplicativos que a empresa forneceu para ajudar os sistemas dos clientes a validar assinaturas criptograficamente. A API não foi totalmente atualizada com bibliotecas que validariam se um sistema deveria aceitar tokens assinados com chaves de consumidor ou chaves corporativas e, como resultado, muitos sistemas poderiam ser induzidos a aceitar qualquer um deles.
