Como uma falha na nuvem deu aos espiões chineses a chave para o reino da Microsoft

Feb 10, 2024

Andy Greenberg

Para a maioria dos profissionais de TI, a mudança para a nuvem foi uma dádiva de Deus. Em vez de proteger seus dados sozinho, deixe que os especialistas em segurança do Google ou da Microsoft os protejam. Mas quando uma única chave roubada pode permitir que hackers acessem dados na nuvem de dezenas de organizações, essa compensação começa a parecer muito mais arriscada.

Na noite de terça-feira, a Microsoft revelou que um grupo de hackers com sede na China, apelidado de Storm-0558, fez exatamente isso. O grupo, que se concentra na espionagem contra governos da Europa Ocidental, acedeu aos sistemas de e-mail Outlook baseados na nuvem de 25 organizações, incluindo várias agências governamentais.

Esses alvos abrangem agências governamentais dos EUA, incluindo o Departamento de Estado, de acordo com a CNN, embora as autoridades dos EUA ainda estejam a trabalhar para determinar o alcance total e as consequências das violações. Um comunicado da Agência de Segurança Cibernética e de Infraestrutura dos EUA afirma que a violação, que foi detectada em meados de junho por uma agência governamental dos EUA, roubou dados de e-mail não confidenciais “de um pequeno número de contas”.

A China vem hackeando incansavelmente as redes ocidentais há décadas. Mas este último ataque utiliza um truque único: a Microsoft diz que os hackers roubaram uma chave criptográfica que lhes permitiu gerar os seus próprios “tokens” de autenticação – sequências de informações destinadas a provar a identidade de um utilizador – dando-lhes rédea solta em dezenas de contas de clientes da Microsoft.

“Colocamos confiança nos passaportes e alguém roubou uma máquina de impressão de passaportes”, diz Jake Williams, um ex-hacker da NSA que agora leciona no Institute for Applied Network Security, em Boston. “Para uma loja tão grande como a Microsoft, com tantos clientes impactados – ou que poderiam ter sido impactados por isso – é algo sem precedentes.”

Em sistemas em nuvem baseados na Web, os navegadores dos usuários se conectam a um servidor remoto e, quando inserem credenciais como nome de usuário e senha, recebem um pouco de dados, conhecido como token, desse servidor. O token serve como uma espécie de carteira de identidade temporária que permite que os usuários entrem e saiam quando quiserem em um ambiente de nuvem, ao mesmo tempo em que reinserem suas credenciais apenas ocasionalmente. Para garantir que o token não possa ser falsificado, ele é assinado criptograficamente com uma sequência exclusiva de dados conhecida como certificado ou chave que o serviço de nuvem possui, uma espécie de selo de autenticidade impossível de ser falsificado.

Lexi Pandell

Reid McCarter

Angela Watercutter

Julian Chokkatu

A Microsoft, em seu blog revelando as violações do Outlook chinês, descreveu uma espécie de colapso em dois estágios desse sistema de autenticação. Primeiro, os hackers conseguiram de alguma forma roubar uma chave que a Microsoft usa para assinar tokens para usuários consumidores de seus serviços em nuvem. Em segundo lugar, os hackers exploraram um bug no sistema de validação de tokens da Microsoft, que lhes permitiu assinar tokens de nível consumidor com a chave roubada e depois usá-los para acessar sistemas de nível empresarial. Tudo isso ocorreu apesar da tentativa da Microsoft de verificar assinaturas de chaves diferentes para esses diferentes graus de token.

A Microsoft afirma que bloqueou todos os tokens que foram assinados com a chave roubada e substituiu a chave por uma nova, evitando que os hackers acessem os sistemas das vítimas. A empresa acrescenta que também tem trabalhado para melhorar a segurança dos seus “sistemas de gestão de chaves” desde que ocorreu o roubo.

Mas ainda não se sabe exatamente como uma chave tão sensível, que permite um acesso tão amplo, poderia ser roubada. A WIRED entrou em contato com a Microsoft, mas a empresa se recusou a comentar mais.

Na ausência de mais detalhes por parte da Microsoft, uma teoria sobre como o roubo ocorreu é que a chave de assinatura de token não foi de fato roubada da Microsoft, de acordo com Tal Skverer, que lidera pesquisas na empresa de segurança Astrix, que anteriormente ano descobriu um problema de segurança de token na nuvem do Google. Nas configurações mais antigas do Outlook, o serviço é hospedado e gerenciado em um servidor de propriedade do cliente, e não na nuvem da Microsoft. Isso pode ter permitido que os hackers roubassem a chave de uma dessas configurações “locais” na rede de um cliente.