Lỗi lớn Microsoft cho phép tin tặc xâm phạm hơn hai chục tổ chức thông qua mã thông báo Azure AD giả mạo

www.tuoitre.vn -   17/07/2023 08:00:00 266

Microsoft hôm thứ Sáu cho biết một lỗi xác thực trong mã nguồn đã cho phép mã thông báo Azure Active Directory (Azure AD) bị giả mạo bởi một tác nhân độc hại có tên là Storm-0558 bằng cách sử dụng khóa ký của người tiêu dùng tài khoản Microsoft (MSA) để vi phạm hơn hai chục tổ chức.

Lỗi lớn Microsoft cho phép tin tặc xâm phạm hơn hai chục tổ chức thông qua mã thông báo Azure AD giả mạo

“Storm-0558 đã có được khóa ký của người tiêu dùng MSA không hoạt động và sử dụng nó để giả mạo mã thông báo xác thực cho doanh nghiệp Azure AD và người tiêu dùng MSA để truy cập OWA và Outlook.com,” gã khổng lồ công nghệ cho biết trong một phân tích sâu hơn về chiến dịch. "Phương pháp mà diễn viên có được chìa khóa là một vấn đề đang được điều tra."

"Mặc dù khóa này chỉ dành cho tài khoản MSA, nhưng sự cố xác thực đã cho phép khóa này được tin cậy để ký mã thông báo Azure AD. Sự cố này đã được khắc phục."

Hiện vẫn chưa rõ liệu vấn đề xác thực mã thông báo có bị khai thác dưới dạng "lỗ hổng zero-day" hay Microsoft đã biết về vấn đề này trước khi nó bị lạm dụng trong tự nhiên hay không.

Các cuộc tấn công đã chọn ra khoảng 25 tổ chức, bao gồm các tổ chức chính phủ và tài khoản người tiêu dùng có liên quan, để giành quyền truy cập email trái phép và lấy cắp dữ liệu hộp thư. Không có môi trường khác được cho là đã bị ảnh hưởng.

Công ty đã được thông báo về vụ việc sau khi Bộ Ngoại giao Hoa Kỳ phát hiện hoạt động email bất thường liên quan đến truy cập dữ liệu Exchange Online. Storm-0558 bị nghi ngờ là một tác nhân đe dọa có trụ sở tại Trung Quốc tiến hành các hoạt động mạng độc hại phù hợp với hoạt động gián điệp, mặc dù Trung Quốc đã bác bỏ các cáo buộc.

Các mục tiêu chính của nhóm tin tặc bao gồm các cơ quan quản lý ngoại giao, kinh tế và lập pháp của Hoa Kỳ và Châu Âu cũng như các cá nhân có liên hệ với các lợi ích địa chính trị của Đài Loan và Uyghur, cũng như các công ty truyền thông, tổ chức tư vấn và các nhà cung cấp dịch vụ và thiết bị viễn thông.

Nó được cho là đã hoạt động ít nhất từ tháng 8 năm 2021, dàn dựng các chiến dịch thu thập thông tin xác thực, lừa đảo và tấn công mã thông báo OAuth nhằm vào các tài khoản Microsoft để theo đuổi mục tiêu của nó.

"Storm-0558 hoạt động với trình độ kỹ thuật cao và bảo mật hoạt động", Microsoft cho biết, mô tả nó là kỹ thuật lão luyện, có nguồn lực tốt và có hiểu biết sâu sắc về các ứng dụng và kỹ thuật xác thực khác nhau.

"Các tác nhân nhận thức sâu sắc về môi trường của mục tiêu, chính sách ghi nhật ký, yêu cầu xác thực, chính sách và thủ tục."

Quyền truy cập ban đầu vào các mạng mục tiêu được thực hiện thông qua lừa đảo và khai thác các lỗ hổng bảo mật trong các ứng dụng công khai, dẫn đến việc triển khai vỏ web China Chopper để truy cập cửa sau và một công cụ có tên Cigril để tạo điều kiện đánh cắp thông tin xác thực.

Storm-0558 cũng sử dụng các tập lệnh PowerShell và Python để trích xuất dữ liệu email như tệp đính kèm, thông tin thư mục và toàn bộ cuộc hội thoại bằng lệnh gọi API Outlook Web Access (OWA).

Microsoft cho biết kể từ khi phát hiện ra chiến dịch vào ngày 16 tháng 6 năm 2023, họ đã "xác định nguyên nhân gốc rễ, thiết lập khả năng theo dõi lâu dài chiến dịch, phá vỡ các hoạt động độc hại, củng cố môi trường, thông báo cho mọi khách hàng bị ảnh hưởng và phối hợp với nhiều cơ quan chính phủ." Nó cũng lưu ý rằng nó đã giảm thiểu vấn đề "thay mặt khách hàng" có hiệu lực từ ngày 26 tháng 6 năm 2023.

Phạm vi chính xác của vi phạm vẫn chưa rõ ràng, nhưng đây là ví dụ mới nhất về một kẻ đe dọa có trụ sở tại Trung Quốc tiến hành các cuộc tấn công mạng nhằm tìm kiếm thông tin nhạy cảm và thực hiện một cuộc đảo chính tình báo lén lút mà không thu hút bất kỳ sự chú ý nào trong ít nhất một tháng trước khi bị phát hiện vào tháng 6 năm 2023.

Tiết lộ được đưa ra khi Microsoft phải đối mặt với những lời chỉ trích về việc xử lý vụ hack và kiểm soát các khả năng pháp y đằng sau các rào cản cấp phép bổ sung, do đó ngăn khách hàng truy cập nhật ký kiểm tra chi tiết có thể giúp phân tích vụ việc.

Thượng nghị sĩ Hoa Kỳ Ron Wyden được trích dẫn cho biết: “Tính phí người dùng cho các tính năng cao cấp cần thiết để không bị hack cũng giống như bán một chiếc ô tô và sau đó tính thêm tiền cho dây an toàn và túi khí”.

Diễn biến này cũng diễn ra khi Ủy ban Tình báo và An ninh của Quốc hội (ISC) của Vương quốc Anh công bố một Báo cáo chi tiết về Trung Quốc, chỉ ra "năng lực gián điệp mạng hiệu quả cao" và khả năng thâm nhập vào nhiều loại CNTT của chính phủ nước ngoài và khu vực tư nhân.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 152
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 124
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 124
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 106
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 111
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 72
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

LIÊN HỆ

Thông tin liên hệ