English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Quando le piante non sopportano più il caldo, siamo nei guai
Sep 02, 2023I migliori fari a LED per il 2023, testati
Sep 01, 2023Calore estremo che incide sul sistema idrico della capitale
Aug 31, 2023I 9 migliori dissipatori di calore per GPU del 2023
Aug 29, 2023I principali marchi di dissipatori per CPU classificati dal peggiore al migliore
Aug 30, 2023Microsoft offre maggiori informazioni su come gli hacker cinesi hanno avuto accesso agli account di posta elettronica governativi
Jun 15, 2023John Callaham Neowin @JCalNEO · 17 luglio 2023 08:48 EDT con 0 commenti
La settimana scorsa, Microsoft ha riferito che un gruppo di hacker cinesi ha avuto accesso ad account di posta elettronica governativi negli Stati Uniti e in Europa. Nello specifico, il gruppo di hacker è entrato in account di posta elettronica che utilizzavano Outlook Web Access di Microsoft in Exchange Online e anche su Outlook.com.
In un successivo post sul blog, Microsoft ha offerto ulteriori dettagli su come questo gruppo, noto come Storm-0558, sia riuscito ad accedere a questi account utilizzando il sistema online dell'azienda. Microsoft ha dichiarato:
Storm-0558 ha acquisito una chiave di firma consumer MSA inattiva e l'ha utilizzata per creare token di autenticazione per Azure AD enterprise e consumer MSA per accedere a OWA e Outlook.com. Tutte le chiavi MSA attive prima dell'incidente, inclusa la chiave di firma MSA acquisita dall'attore, sono state invalidate. Le chiavi di Azure AD non sono state interessate. Il metodo con cui l'attore ha acquisito la chiave è oggetto di indagini in corso. Sebbene la chiave fosse destinata solo agli account MSA, un problema di convalida ha consentito di considerarla attendibile per la firma dei token di Azure AD. Questo problema è stato corretto.
Il blog spiega anche come il gruppo di hacker ha utilizzato questa chiave di firma per accedere alla versione web di Outlook:
Una volta autenticato tramite un flusso client legittimo sfruttando il token contraffatto, l'autore della minaccia ha effettuato l'accesso all'API OWA per recuperare un token per Exchange Online dall'API GetAccessTokenForResource utilizzata da OWA. L'attore è riuscito a ottenere nuovi token di accesso presentandone uno precedentemente emesso da questa API a causa di un difetto di progettazione. Da allora questo difetto nell'API GetAccessTokenForResource è stato corretto per accettare solo token emessi rispettivamente da Azure AD o MSA. L'attore ha utilizzato questi token per recuperare i messaggi di posta dall'API OWA.
Nell'ambito degli sforzi per risolvere questo problema, Microsoft ha apportato alcune modifiche alle sue procedure:
Ciò include un maggiore isolamento dei sistemi, un monitoraggio perfezionato dell'attività del sistema e il passaggio all'archivio chiavi rafforzato utilizzato per i nostri sistemi aziendali. Abbiamo revocato tutte le chiavi precedentemente attive e abbiamo emesso nuove chiavi utilizzando questi sistemi aggiornati. La nostra indagine attiva indica che questi miglioramenti di rafforzamento e isolamento interrompono i meccanismi che riteniamo l’attore avrebbe potuto utilizzare per acquisire le chiavi di firma MSA.
Microsoft afferma che non è necessaria alcuna azione da parte dei suoi clienti Web Outlook poiché afferma che "tutte le attività degli attori relative a questo incidente sono state bloccate". Ha aggiunto che "continuerà a monitorare l'attività Storm-0558 e ad implementare protezioni per i nostri clienti.
John Callaham · 25 agosto 2023 con 1 commento
John Callaham · 6 marzo 2023 con 18 commenti s
Rahul Naskar · 14 ottobre 2022 con 0 commenti s