Microsoftの消費者署名キーが中国系ハッカー集団に盗まれる、Microsoftのクラウドサービス全般が影響下に

セキュリティ企業・Wizの研究により、「Storm-0558」というコードネームで呼ばれている中国系ハッカーによってMicrosoftの消費者署名キーが盗み出され、Exchange OnlineやOutlook.comのアカウントへのアクセスが可能になったことが指摘されています

Compromised Microsoft Key: More Impactful Than We Thought | Wiz Blog
https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr

Stolen Microsoft key offered widespread access to Microsoft cloud services
https://www.bleepingcomputer.com/news/security/stolen-microsoft-key-offered-widespread-access-to-microsoft-cloud-services/

Storm-0588の一連の存在は少なくとも2016年から確認されており、Microsoftの消費者署名キーが2023年6月27日から7月5日までの間に改ざんされれ、確認されていた悪意のあるコードと入れ替えていたことが検出されています。

Micorosoftは影響を受けるのがExchang OnlineとOutlook.comのみだとしていますが、影響を受けた組織のなかにアメリカ国務省や商務省、アメリカから西ヨーロッパ地域の政府機関が含まれているそうです。Wizの研究者は、攻撃が侵害されたMicrosoftの消費者署名キーを利用して、攻撃を受ける顧客やクラウドベースのMicrosoftアプリケーションのあらゆるアカウントになりすます可能性があると述べています。

「これには、Outlook.com、SharePoint、OneDrive、TeamsなどのMicrosoft製マネージドアプリケーションと、『Microsoftでログイン』機能を許可するアプリケーションなど、Microsoft アカウント認証をサポートする顧客のアプリケーションが含まれます」とWizのセキュリティ研究者であるシャー・タマリ氏は述べています。

WizのCT兼共同創設者であるアミ・ルトアック氏は、「Microsoftの世界ではすべて、アクセスのために Azure Active Directory認証トークンを利用しています」とBleepingComputerに語りました。

ルトアック氏は「Azure Active Directory署名キーを持つ攻撃者は、あらゆるユーザーとしてほぼすべてのアプリにアクセスできるため、想像できる最も強力な攻撃者です。これは究極のサイバーインテリジェンスのシェイプシフターのスーパーパワーです、Microsoftの世界ではすべて、アクセスのためにAzure Active Directory認証トークンを利用しています」と述べています。

MicrosoftはStorm-0558の戦術に注目し、彼らがMicrosoftの消費者署名キーにアクセスできなくなったことを報告しました。ただし、Microsoftは、Storm-0588がどうやってMicrosoftの消費者署名キーにアクセスできていたのかについては、記事作成時点でも判明していないそうです。

・続報
中国系ハッカーが署名キーをWindowsのクラッシュダンプから盗み出していたことが判明 - GIGAZINE