Cómo una falla en la nube dio a los espías chinos la llave del reino de Microsoft

Feb 10, 2024

Andy Greenberg

Para la mayoría de los profesionales de TI, el paso a la nube ha sido una bendición. En lugar de proteger sus datos usted mismo, deje que los expertos en seguridad de Google o Microsoft los protejan. Pero cuando una sola clave robada puede permitir a los piratas informáticos acceder a datos en la nube de docenas de organizaciones, esa compensación empieza a parecer mucho más riesgosa.

El martes por la noche, Microsoft reveló que un grupo de hackers con sede en China, denominado Storm-0558, había hecho exactamente eso. El grupo, que se centra en el espionaje contra gobiernos de Europa occidental, había accedido a los sistemas de correo electrónico Outlook basados ​​en la nube de 25 organizaciones, incluidas varias agencias gubernamentales.

Esos objetivos incluyen agencias del gobierno estadounidense, incluido el Departamento de Estado, según CNN, aunque los funcionarios estadounidenses todavía están trabajando para determinar el alcance total y las consecuencias de las violaciones. Un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dice que la violación, que fue detectada a mediados de junio por una agencia del gobierno de EE. UU., robó datos de correo electrónico no clasificados "de una pequeña cantidad de cuentas".

China ha estado pirateando implacablemente las redes occidentales durante décadas. Pero este último ataque utiliza un truco único: Microsoft dice que los piratas informáticos robaron una clave criptográfica que les permitía generar sus propios "tokens" de autenticación (cadenas de información destinadas a probar la identidad de un usuario), dándoles rienda suelta a través de docenas de cuentas de clientes de Microsoft.

“Confiábamos en los pasaportes y alguien robó una máquina de impresión de pasaportes”, dice Jake Williams, un ex hacker de la NSA que ahora enseña en el Instituto de Seguridad Aplicada de Redes en Boston. "Para una empresa tan grande como Microsoft, con tantos clientes afectados (o que podrían haberse visto afectados por esto), no tiene precedentes".

En los sistemas de nube basados ​​en web, los navegadores de los usuarios se conectan a un servidor remoto y, cuando ingresan credenciales como un nombre de usuario y contraseña, reciben un poco de datos, conocido como token, de ese servidor. El token sirve como una especie de tarjeta de identidad temporal que permite a los usuarios entrar y salir cuando quieran dentro de un entorno de nube y solo ocasionalmente vuelven a ingresar sus credenciales. Para garantizar que el token no pueda ser falsificado, está firmado criptográficamente con una cadena única de datos conocida como certificado o clave que posee el servicio en la nube, una especie de sello de autenticidad inolvidable.

Lexi Pandell

Reid McCarter

angela cortadora de agua

Julian Chokkattu

Microsoft, en su publicación de blog que revela las violaciones de Outlook chino, describió una especie de falla en dos etapas de ese sistema de autenticación. En primer lugar, los piratas informáticos de alguna manera pudieron robar una clave que Microsoft utiliza para firmar tokens para usuarios de sus servicios en la nube de nivel de consumidor. En segundo lugar, los piratas informáticos explotaron un error en el sistema de validación de tokens de Microsoft, que les permitió firmar tokens de nivel de consumidor con la clave robada y luego usarlos para acceder a sistemas de nivel empresarial. Todo esto ocurrió a pesar del intento de Microsoft de buscar firmas de diferentes claves para esos diferentes grados de token.

Microsoft dice que ahora bloqueó todos los tokens firmados con la clave robada y reemplazó la clave por una nueva, evitando que los piratas informáticos accedan a los sistemas de las víctimas. La empresa añade que también ha trabajado para mejorar la seguridad de sus “sistemas de gestión de claves” desde que se produjo el robo.

Pero aún se desconoce exactamente cómo se pudo robar una clave tan sensible, que permite un acceso tan amplio. WIRED se puso en contacto con Microsoft, pero la empresa se negó a hacer más comentarios.

A falta de más detalles por parte de Microsoft, una teoría de cómo ocurrió el robo es que la clave de firma del token en realidad no fue robada de Microsoft en absoluto, según Tal Skverer, quien dirige la investigación en la empresa de seguridad Astrix, que anteriormente El año descubrió un problema de seguridad simbólico en la nube de Google. En configuraciones anteriores de Outlook, el servicio se aloja y administra en un servidor propiedad del cliente en lugar de en la nube de Microsoft. Eso podría haber permitido a los piratas informáticos robar la clave de una de estas configuraciones "locales" en la red de un cliente.

Entonces, sugiere Skverer, los piratas informáticos podrían haber explotado el error que permitía que la clave firmara tokens empresariales para obtener acceso a una instancia de nube de Outlook compartida por las 25 organizaciones afectadas por el ataque. "Mi mejor suposición es que comenzaron desde un único servidor que pertenecía a una de estas organizaciones", dice Skverer, "y dieron el salto a la nube abusando de este error de validación, y luego obtuvieron acceso a más organizaciones que comparten el servidor". misma instancia de Outlook en la nube”.

Pero esa teoría no explica por qué un servidor local para un servicio de Microsoft dentro de una red empresarial estaría utilizando una clave que Microsoft describe como destinada a firmar tokens de cuentas de consumidores. Tampoco explica por qué tantas organizaciones, incluidas agencias gubernamentales de EE. UU., compartirían una instancia de nube de Outlook.

Otra teoría, y mucho más preocupante, es que la clave de firma de token utilizada por los piratas informáticos fue robada de la propia red de Microsoft, obtenida engañando a la empresa para que les emitiera una nueva clave a los piratas informáticos, o incluso reproducida de alguna manera aprovechando errores en el proceso criptográfico que lo creó. En combinación con el error de validación de tokens que describe Microsoft, eso puede significar que podría haberse utilizado para firmar tokens para cualquier cuenta de nube de Outlook, consumidor o empresa: una clave maestra para una gran franja, o incluso toda, la nube de Microsoft.

El conocido investigador de seguridad web Robert “RSnake” Hansen dice que leyó la línea en la publicación de Microsoft sobre cómo mejorar la seguridad de los “sistemas de administración de claves” para sugerir que la “autoridad de certificación” de Microsoft, su propio sistema para generar las claves para firmar criptográficamente tokens —fue de alguna manera pirateado por los espías chinos. "Es muy probable que haya habido una falla en la infraestructura o en la configuración de la autoridad de certificación de Microsoft que llevó a que un certificado existente se viera comprometido o que se creara un nuevo certificado", dice Hansen.

Lexi Pandell

Reid McCarter

angela cortadora de agua

Julian Chokkattu

Si los piratas informáticos realmente robaron una clave de firma que podría usarse para falsificar tokens en cuentas de consumidores (y, gracias al problema de validación de tokens de Microsoft, también en cuentas empresariales), el número de víctimas podría ser mucho mayor que las 25 organizaciones que Microsoft tiene. contabilizado públicamente, advierte Williams.

Para identificar a las víctimas empresariales, Microsoft podría buscar cuáles de sus tokens habían sido firmados con una clave de nivel de consumidor. Pero esa clave también podría haberse utilizado para generar tokens de consumo, lo que podría ser mucho más difícil de detectar dado que los tokens podrían haberse firmado con la clave esperada. "Del lado del consumidor, ¿cómo lo sabrías?" pregunta Williams. "Microsoft no ha discutido eso y creo que deberíamos esperar mucha más transparencia".

La última revelación de espionaje chino de Microsoft no es la primera vez que piratas informáticos patrocinados por el estado explotan tokens para violar objetivos o difundir su acceso. Los piratas informáticos rusos que llevaron a cabo el notorio ataque a la cadena de suministro de Solar Winds también robaron tokens de Microsoft Outlook de las máquinas de las víctimas que podrían usarse en otras partes de la red para mantener y ampliar su alcance en sistemas sensibles.

Para los administradores de TI, esos incidentes (y en particular este último) sugieren algunas de las ventajas y desventajas reales de migrar a la nube. Microsoft, y la mayor parte de la industria de la ciberseguridad, han recomendado durante años el paso a sistemas basados ​​en la nube para poner la seguridad en manos de gigantes tecnológicos en lugar de empresas más pequeñas. Pero los sistemas centralizados pueden tener sus propias vulnerabilidades, con consecuencias potencialmente enormes.

"Estás entregando las llaves del reino a Microsoft", dice Williams. "Si su organización no se siente cómoda con eso ahora, no tiene buenas opciones".