Several security missteps on Microsoft’s part allowed a China-based threat actor to forge authentication tokens and access user email from some 25 Microsoft enterprise customers earlier this year, the company’s investigation has shown.
حملے by a Chinese cyber espionage group that Microsoft is tracking as Storm-0558 were noteworthy because they involved the threat actor using a Microsoft account (MSA) consumer signing key to forge Azure AD tokens for accessing enterprise email accounts. MSA consumer keys are typically used to cryptographically sign into a Microsoft consumer application or service such as Outlook.com, OneDrive, and Xbox Live.
Cyber Espionage Campaign
Storm-0558 is believed to be a China-nexus cyber espionage group that has been active since at least 2021. Its targets have included US and European diplomatic entities, legislative governing bodies, media companies, Internet service providers, and telecommunications equipment manufacturers. In many of its attacks, the threat actor has used credential harvesting, phishing campaigns, and OAuth token attacks to gain access to target email accounts.
Microsoft discovered the group’s latest campaign in May when a customer reported anomalous activity involving their Exchange Server account. The company’s initial investigation showed the threat group had accessed the customer’s Exchange online data via Outlook Web Access. Early on, Microsoft assumed the adversary had somehow obtained an Azure AD enterprise signing key and was using it to forge tokens for authenticating to Exchange Server. But further investigation showed that Storn-0558 in fact was using an acquired MSA consumer signing key to do the token forging — something the company attributed at the time to a “validation error.”
ایک اس ہفتے رپورٹ کریں, Microsoft released the findings of its subsequent two-and-a-half-month long technical investigation into the incident, which describes exactly how the attack chain played out and the now-corrected mistakes that enabled the whole thing.
A Series of Unfortunate Errors
According to the company, the problem started with a now-resolved race condition that resulted in the signing key being present in a crash dump.
Typically, the signing key should never have escaped the company’s otherwise secure production environment, which is isolated and incorporates several security controls. These include background checks for employees, dedicated production accounts, secure workstations, and hardware token-based two-factor authentication. “Controls in this environment also prevent the use of email, conferencing, web research, and other collaboration tools, which can lead to common account compromise vectors,” Microsoft said in its report this week.
Those controls, however, were not enough when a consumer key-signing system in the production environment crashed in April 2021 and a signing key was included in either the crash dump or a snapshot of the crashed system. Normally, the key should have been redacted from the dump, but that didn’t happen because of the race condition. Worse, none of Microsoft’s controls detected the sensitive information in the crash dump, which eventually ended up with the debugging team on Microsoft’s Internet-connected corporate network. Here again, the company’s controls for spotting credential data in the debugging environment failed to spot the leaked consumer key.
As Microsoft explained it, while the company’s corporate environment is secure, it also allows for the use of email, conferencing, and other collaboration tools that make users somewhat more vulnerable to spear-phishing attacks, token-stealing malware, and other attack vectors.
At some point, Storm-0558 actors managed to successfully compromise a Microsoft engineer’s corporate account and used the account’s access to the debugging environment to steal data — including the runaway key — from there.
The Consumer Key Mystery Explained
As to how a consumer key allowed the attacker to forge Azure AD tokens, Microsoft points to a common key metadata publishing endpoint it established in September 2018. “As part of this converged offering, Microsoft updated documentation to clarify the requirements for key scope validation — which key to use for enterprise accounts, and which to use for consumer accounts,” Microsoft said.
But here again — and for a variety of reasons having to do with ambiguous documentation and library updates, APIs, and other factors — the key scope validation did not work as intended. The net result was the “email system would accept a request for enterprise email using a security token signed with the consumer key,” Microsoft said.
To address the problem, Microsoft has eliminated the race condition that allowed the key data to be included in crash dumps. The company has also upped its mechanisms for detecting signing keys in places where they should not be, including in the debugging environment. In addition, Microsoft said it has improved its automated scope validation mechanism to eliminate the potential for a similar mishap.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- چارٹ پرائم۔ ChartPrime کے ساتھ اپنے ٹریڈنگ گیم کو بلند کریں۔ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/attacks-breaches/microsoft-ids-security-gaps-that-let-threat-actor-steal-signing-key
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 2018
- 2021
- 25
- 7
- a
- قبول کریں
- تک رسائی حاصل
- رسائی
- تک رسائی حاصل
- اکاؤنٹ
- اکاؤنٹس
- حاصل
- فعال
- اداکار
- Ad
- اس کے علاوہ
- پتہ
- پھر
- کی اجازت
- کی اجازت دیتا ہے
- بھی
- an
- اور
- APIs
- درخواست
- اپریل
- کیا
- AS
- فرض کیا
- At
- حملہ
- حملے
- کی توثیق
- آٹومیٹڈ
- Azure
- پس منظر
- BE
- کیونکہ
- رہا
- کیا جا رہا ہے
- خیال کیا
- لاشیں
- لیکن
- by
- مہم
- مہمات
- کر سکتے ہیں
- چین
- چیک
- چینی
- تعاون
- COM
- کامن
- کمپنیاں
- کمپنی کے
- سمجھوتہ
- شرط
- کانفرنسنگ
- صارفین
- کنٹرول
- کارپوریٹ
- ناکام، ناکامی
- گر کر تباہ ہوگیا۔
- کریڈینٹل
- گاہک
- گاہکوں
- سائبر
- اعداد و شمار
- وقف
- پتہ چلا
- DID
- نہیں کیا
- دریافت
- do
- دستاویزات
- پھینک
- اس سے قبل
- ابتدائی
- یا تو
- کا خاتمہ
- ختم ہوگیا
- ای میل
- ملازمین
- چالو حالت میں
- ختم
- اختتام پوائنٹ
- انجینئر
- کافی
- انٹرپرائز
- اداروں
- ماحولیات
- کا سامان
- خرابی
- جاسوسی
- قائم
- یورپی
- آخر میں
- بالکل
- ایکسچینج
- وضاحت کی
- حقیقت یہ ہے
- عوامل
- ناکام
- نتائج
- کے لئے
- قائم
- معاف کرنا
- سے
- مزید
- حاصل کرنا
- فرق
- گورننگ
- گروپ
- تھا
- ہو
- ہارڈ ویئر
- کٹائی
- ہے
- ہونے
- یہاں
- کس طرح
- تاہم
- HTTPS
- ID
- بہتر
- in
- واقعہ
- شامل
- شامل
- سمیت
- معلومات
- ابتدائی
- ارادہ
- انٹرنیٹ
- انٹرنیٹ سے منسلک
- میں
- تحقیقات
- ملوث
- شامل
- الگ الگ
- IT
- میں
- فوٹو
- کلیدی
- چابیاں
- تازہ ترین
- قیادت
- کم سے کم
- قانون سازی
- دو
- لائبریری
- رہتے ہیں
- لانگ
- بنا
- میلویئر
- میں کامیاب
- مینوفیکچررز
- بہت سے
- مئی..
- میکانزم
- نظام
- میڈیا
- میٹا ڈیٹا
- مائیکروسافٹ
- غلطیوں
- زیادہ
- اسرار
- خالص
- نیٹ ورک
- کبھی نہیں
- کوئی بھی نہیں
- عام طور پر
- قابل ذکرہے
- اوہ
- حاصل کی
- of
- کی پیشکش
- on
- آن لائن
- or
- دیگر
- دوسری صورت میں
- باہر
- آؤٹ لک
- حصہ
- فشنگ
- مقامات
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھیلا
- پوائنٹ
- پوائنٹس
- ممکنہ
- حال (-)
- کی روک تھام
- مسئلہ
- پیداوار
- فراہم کرنے والے
- پبلشنگ
- ریس
- وجوہات
- جاری
- رپورٹ
- درخواست
- ضروریات
- تحقیق
- نتیجہ
- s
- کہا
- گنجائش
- محفوظ بنانے
- سیکورٹی
- سیکورٹی ٹوکن
- حساس
- ستمبر
- سیریز
- سروس
- سہولت کار
- کئی
- ہونا چاہئے
- سے ظاہر ہوا
- دکھایا گیا
- سائن ان کریں
- دستخط
- دستخط کی
- اسی طرح
- بعد
- سنیپشاٹ
- کچھ
- کچھ
- کچھ بھی نہیں
- کمرشل
- اسپاٹنگ
- شروع
- بعد میں
- کامیابی کے ساتھ
- اس طرح
- کے نظام
- ہدف
- اہداف
- ٹیم
- ٹیکنیکل
- ٹیلی کمیونیکیشن کی
- کہ
- ۔
- ان
- وہاں.
- یہ
- وہ
- بات
- اس
- اس ہفتے
- اس سال
- خطرہ
- وقت
- کرنے کے لئے
- ٹوکن
- ٹوکن
- اوزار
- ٹریکنگ
- عام طور پر
- بدقسمتی کی بات
- اپ ڈیٹ
- تازہ ترین معلومات
- us
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- توثیق
- مختلف اقسام کے
- کی طرف سے
- قابل اطلاق
- تھا
- ویب
- ہفتے
- تھے
- جب
- جس
- جبکہ
- پوری
- ساتھ
- کام
- بدتر
- گا
- xbox
- سال
- زیفیرنیٹ