Come una falla nel cloud ha dato alle spie cinesi la chiave del regno di Microsoft

Feb 10, 2024

Andy Greenberg

Per la maggior parte dei professionisti IT, il passaggio al cloud è stato una manna dal cielo. Invece di proteggere tu stesso i tuoi dati, lascia che siano gli esperti di sicurezza di Google o Microsoft a proteggerli. Ma quando una singola chiave rubata può consentire agli hacker di accedere ai dati cloud di decine di organizzazioni, il compromesso inizia a sembrare molto più rischioso.

Martedì sera, Microsoft ha rivelato che un gruppo di hacker con sede in Cina, soprannominato Storm-0558, aveva fatto esattamente questo. Il gruppo, che si concentra sullo spionaggio contro i governi dell’Europa occidentale, aveva avuto accesso ai sistemi di posta elettronica Outlook basati su cloud di 25 organizzazioni, tra cui diverse agenzie governative.

Tali obiettivi comprendono agenzie governative statunitensi, compreso il Dipartimento di Stato, secondo la CNN, sebbene i funzionari statunitensi stiano ancora lavorando per determinare l’intera portata e le ricadute delle violazioni. Un avviso della US Cybersecurity and Infrastructure Security Agency afferma che la violazione, rilevata a metà giugno da un’agenzia governativa statunitense, ha rubato dati di posta elettronica non classificati “da un piccolo numero di account”.

La Cina attacca incessantemente le reti occidentali da decenni. Ma quest’ultimo attacco utilizza un trucco unico: Microsoft afferma che gli hacker hanno rubato una chiave crittografica che ha permesso loro di generare i propri “token” di autenticazione – stringhe di informazioni destinate a dimostrare l’identità di un utente – dando loro libero sfogo su dozzine di account clienti Microsoft.

"Abbiamo fiducia nei passaporti e qualcuno ha rubato una macchina per la stampa di passaporti", afferma Jake Williams, un ex hacker della NSA che ora insegna all'Institute for Applied Network Security di Boston. "Per un'azienda grande come Microsoft, con così tanti clienti colpiti, o che avrebbero potuto esserne colpiti, è una cosa senza precedenti."

Nei sistemi cloud basati sul web, i browser degli utenti si connettono a un server remoto e, quando inseriscono credenziali come nome utente e password, ricevono un po' di dati, noti come token, da quel server. Il token funge da sorta di carta d'identità temporanea che consente agli utenti di entrare e uscire a piacimento all'interno di un ambiente cloud, inserendo solo occasionalmente le proprie credenziali. Per garantire che il token non possa essere falsificato, viene firmato crittograficamente con una stringa di dati univoca nota come certificato o chiave posseduta dal servizio cloud, una sorta di timbro di autenticità indimenticabile.

Lexi Pandell

Reid McCarter

Angela Tagliaacqua

Giuliano Chokkattu

Microsoft, nel suo post sul blog che rivela le violazioni cinesi di Outlook, ha descritto una sorta di ripartizione in due fasi di quel sistema di autenticazione. Innanzitutto, gli hacker sono riusciti in qualche modo a rubare una chiave che Microsoft utilizza per firmare i token per gli utenti consumer dei suoi servizi cloud. In secondo luogo, gli hacker hanno sfruttato un bug nel sistema di convalida dei token di Microsoft, che ha consentito loro di firmare token di livello consumer con la chiave rubata e quindi di utilizzarli per accedere invece a sistemi di livello aziendale. Tutto ciò è avvenuto nonostante il tentativo di Microsoft di verificare la presenza di firme di chiavi diverse per i diversi gradi di token.

Microsoft afferma di aver bloccato tutti i token firmati con la chiave rubata e di aver sostituito la chiave con una nuova, impedendo agli hacker di accedere ai sistemi delle vittime. L'azienda aggiunge di aver lavorato anche per migliorare la sicurezza dei suoi “sistemi di gestione delle chiavi” da quando si è verificato il furto.

Ma resta ancora sconosciuto il modo esatto in cui una chiave così sensibile, che consente un accesso così ampio, possa essere stata rubata. WIRED ha contattato Microsoft, ma la società ha rifiutato di commentare ulteriormente.

In assenza di ulteriori dettagli da parte di Microsoft, una teoria su come è avvenuto il furto è che la chiave per la firma del token non sia stata affatto rubata a Microsoft, secondo Tal Skverer, che conduce la ricerca presso la società di sicurezza Astrix, che all'inizio di questo articolo anno ha scoperto un problema di sicurezza dei token nel cloud di Google. Nelle configurazioni precedenti di Outlook, il servizio è ospitato e gestito su un server di proprietà del cliente anziché nel cloud di Microsoft. Ciò avrebbe potuto consentire agli hacker di rubare la chiave da una di queste configurazioni "locali" sulla rete di un cliente.