Per diverse settimane un gruppo hacker ostile, probabilmente collegato al Governo Cinese, ha potuto consultare i server di posta Microsoft di alcune organizzazioni governative, oltre agli account di posta personali di utenti Outlook collegati alle medesime organizzazioni. Gli hacker ostili hanno potuto accedere ai server perché erano tecnicamente in grado di generare token di autenticazione leciti per i sistemi Microsoft.

La violazione dei sistemi di posta ha colpito, secondo Microsoft, 25 organizzazioni ed è iniziata il 15 maggio scorso. Circa un mese dopo quella data, una delle organizzazioni colpite ha segnalato a Redmond un comportamento anomalo dei suoi sistemi di posta. Così Microsoft ha iniziato le sue investigazioni e, in base ai risultati, ha intrapreso le mosse necessarie per - a cavallo della fine di giugno - prima mitigare e poi risolvere la violazione. Il blog post che ne ha parlato è dell'11 luglio.

Microsoft attribuisce - ma con "moderate confidence", quindi non con certezza - l'attacco al gruppo cinese Storm-0558, un threat actor le cui azioni fanno pensare che si ponga principalmente obiettivi di spionaggio. Redmond spiega che si tratta di un gruppo tecnicamente molto preparato che preferisce colpire organizzazioni diplomatiche, economiche e governative statunitensi ed europee. Più in dettaglio, cerca in vari modi di ottenere l'accesso ai loro sistemi di email.

Microsoft conosce Storm-0558 e il suo modus operandi da diversi anni, perché è da molto che il threat actor cerca di violare i sistemi di posta Microsoft per colpire le sue vittime. Stavolta ci è riuscito, e bene, sfruttando una sfortunata sequenza di coincidenze e falle nelle procedure di sviluppo e debug dei sistemi di posta di Redmond.

Microsoft spiega che nell'aprile 2021 si è verificato un guasto nei sistemi per la gestione delle chiavi di identificazione delle piattaforme consumer di email. Come di norma accade, il guasto ha generato uno snapshot del processo in avaria (ossia un crash dump), che doveva essere esaminato in seguito per capire meglio le cause del problema. Di solito il crash dump non contiene informazioni sensibili, ma quella volta una race condition ha fatto sì che contenesse una chiave per la generazione dei token di autenticazione per i sistemi di posta.

Seguendo le procedure Microsoft di analisi e debug, il crash dump è stato prima conservato nell'ambiente di produzione, isolato e protetto, e poi spostato in un ambiente di debug, questo sì collegato alla rete aziendale Microsoft e quindi a Internet. In questo lasso di tempo, i sistemi di controllo di Redmond non hanno mai rilevato che il crash dump contenesse una preziona chiave di cifratura.

Micrososft ritiene che dopo l'incidente, ma non sa stimare quando, il gruppo Storm-0558 sia riuscito a compromettere l'account di un tecnico Microsoft, ad accedere all'ambiente di debug e a sottrarre il crash dump. Ottenendo così, probabiilmente senza neanche volerlo, la chiave per la generazione dei token di autenticazione consumer.

In questo modo Storm-0558 poteva generare token tecnicamente leciti da usare per accedere a Outlook.com. Il danno maggiore - la possibilità per il gruppo cinese di accedere a sistemi di posta enterprise - deriva dal fatto che, dal 2022, i sistemi di posta aziendale Microsoft possono tecnicamente accettare token sia consumer sia enterprise: il controllo della validità del singolo token va fatta in più via API, in modo che un token consumer - anche se valido - non basti per accedere a un sistema di email enterprise.

La comunicazione interna su questo dettaglio non deve essere stata però efficace, perché gli sviluppatori dei sistemi di email Microsoft non hanno tenuto conto della ncessità di un doppio controllo e hanno, in pratica, lasciato "aperti" i sistemi anche alla presentazione di un token consumer. Così la chiave conquistata da Storm-0558 è bastata per violare anche l'interfaccia web Outlook Web Access (OWA) di account enterprise.

Ora questa sequenza di errori, incomprensioni e falle è stata finalmente compresa e risolta, bloccando le intrusioni di Storm-0558. La cui attivtà è stata ovviamente segnalata da Microsoft alle autorità USA, oltre che alle aziende e alle singole persone coinvolte.