🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học Kinh tế Kỹ thuật - Công nghiệp đã đăng ký tín nhiệm. 🔥                    🔥 Sở Tư pháp tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trang Thông tin về Phổ biến, giáo dục pháp luật tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Lỗ hổng Microsoft cho phép tin tặc xâm phạm hàng chục tổ chức thông qua token Azure AD giả mạo

17/07/2023

Thứ Sáu tuần trước, Microsoft cho biết một lỗi xác thực trong mã nguồn đã cho phép một tác nhân độc hại có tên Storm-0558 giả mạo token Azure Active Directory (Azure AD) để xâm phạm hơn hai chục tổ chức.

Trong một bài phân tích, Microsoft cho biết “Storm-0558 đã có được khóa ký (signing key) của người dùng MSA không hoạt động và sử dụng nó để giả mạo token xác thực cho doanh nghiệp Azure AD và người dùng MSA để truy cập vào OWA và Outlook.com”. Vẫn chưa rõ tác nhân đe dọa đã lấy được khóa ký bằng cách nào.

"Mặc dù khóa này chỉ dành cho tài khoản MSA, nhưng lỗi xác thực đã cho phép khóa này được tin cậy để ký token xác thực Azure AD. Sự cố này đã được khắc phục."

Các cuộc tấn công đã nhắm vào khoảng 25 tổ chức, bao gồm các tổ chức chính phủ và tài khoản người dùng có liên quan, để giành được quyền truy cập email trái phép và lấy cắp dữ liệu hộp thư.

Microsoft đã được thông báo về vụ việc sau khi Bộ Ngoại giao Mỹ phát hiện hoạt động email bất thường liên quan đến truy cập dữ liệu Exchange Online. Storm-0558 bị nghi ngờ là một tác nhân đe dọa Trung Quốc.

Mục tiêu chính của nhóm này bao gồm các cơ quan quản lý ngoại giao, kinh tế và lập pháp của Mỹ và Châu Âu, các cá nhân có liên quan đến các lợi ích địa chính trị của Đài Loan và Uyghur, cũng như các công ty truyền thông, tổ chức tư vấn và các nhà cung cấp dịch vụ và thiết bị viễn thông.

Storm-0558 được cho là đã hoạt động ít nhất từ ​​tháng 8 năm 2021, với các chiến dịch thu thập thông tin xác thực, lừa đảo và tấn công token OAuth nhằm vào các tài khoản Microsoft được nhắm mục tiêu.

Quyền truy cập ban đầu vào các mạng mục tiêu có được thông qua lừa đảo và khai thác các lỗ hổng bảo mật trong các ứng dụng công khai, dẫn đến việc triển khai webshell China Chopper để cài cắm backdoor và một công cụ có tên Cigril dùng để hỗ trợ việc đánh cắp thông tin xác thực.

Ngoài ra, Storm-0558 còn sử dụng các tập lệnh PowerShell và Python để trích xuất dữ liệu email như tệp đính kèm, thông tin thư mục và toàn bộ cuộc hội thoại thông qua các API Outlook Web Access (OWA).

Microsoft cho biết kể từ khi phát hiện ra chiến dịch vào ngày 16 tháng 6 năm 2023, họ đã "xác định nguyên nhân vấn đề, theo dõi chiến dịch, phá vỡ các hoạt động độc hại, củng cố môi trường, thông báo cho các khách hàng bị ảnh hưởng và phối hợp với nhiều cơ quan chính phủ." Công ty cũng đã "thay khách hàng" khắc phục vấn đề từ ngày 26 tháng 6 năm 2023.

Phạm vi chính xác của cuộc tấn công vẫn chưa được xác định, nhưng đây là ví dụ mới nhất về một tác nhân đe dọa Trung Quốc tiến hành các cuộc tấn công mạng lén lút nhằm đánh cắp thông tin nhạy cảm và thực hiện hoạt động tình báo mà không thu hút bất kỳ sự chú ý nào trong ít nhất một tháng trước khi bị phát hiện vào tháng 6 năm 2023.

Sự việc diễn ra cùng khi Ủy ban Tình báo và An ninh của Quốc hội (ISC) Vương quốc Anh đã công bố một Báo cáo chi tiết về Trung Quốc, chỉ ra "khả năng gián điệp mạng hiệu quả" và khả năng thâm nhập vào nhiều hệ thống CNTT của chính phủ nước ngoài và khu vực tư nhân.

Nguồn: thehackernews.com.

scrolltop