Microsoft powstrzymał ataki chińskiej grupy hakerskiej, śledzonej pod nazwą Storm-0558, które celowały w e-maile klientów. Storm-0558 obrał za cel głównie agencje rządowe w Zachodniej Europie, koncentrując się na szpiegostwie, kradzieży danych i dostępie do poświadczeń. Gigant z Redmond całkowicie unieszkodliwił ten atak dla wszystkich klientów.
Po otrzymaniu zgłoszenia od klienta 16 czerwca Microsoft rozpoczął dochodzenie w sprawie podejrzanej aktywności e-mail. Przez następne tygodnie dochodzenie wykazało, że od 15 maja 2023 roku grupa Storm-0558 uzyskała dostęp do kont pocztowych blisko 25 organizacji, wliczając w to agencje rządowe, a także do powiązanych indywidualnych kont konsumentów związanych tymi organizacjami. Hakerzy użyli sfałszowanych tokenów uwierzytelniających, by uzyskać dostęp do poczty e-mail użytkownika przy użyciu nabytego klucza podpisywania konta Microsoft (MSA).
Nasza telemetria pokazała, że z powodzeniem zablokowaliśmy Storm-0558 dostęp do e-maila klienta z użyciem sfałszowanych tokenów uwierzytelniających. Żadne działania ze strony klienta nie były wymagane. Jak w przypadku każdej obserwowanej aktywności atakującego na zleceniu państwa [nation-state actor] Microsoft skontaktował się ze wszystkimi organizacjami będącymi celem ataków lub zagrożonymi naruszeniami bezpośrednio poprzez administratorów ich dzierżaw i dostarczył im ważne informacje, aby pomóc im w dochodzeniu i odpowiedzi. Nadal blisko współpracujemy z tymi organizacjami. Jeśli nie skontaktowano się z Tobą, to nasze dochodzenie wykazało, że [te ataki] Cię nie objęły. Microsoft współpracuje z DHS CISA i innymi, aby chronić dotkniętych klientów i zaadresować ten problem. Nadal śledzimy i monitorujemy aktywność Storm-0558.
— Microsoft Security Response Center (MSRC)
Microsoft wyjaśnia, że dostęp do e-maili hakerzy uzyskali, fałszując tokeny w Outlook Web Access w Exchange Online (OWA) i Outlook.com. Klucze konsumenckie MSA i korporacyjne klucze Azure AD są wydawane i zarządzane z oddzielnych systemów i powinny być ważne tylko dla odpowiednich systemów. Atakujący exploitowali problem z weryfikacją tokenu, aby podszywać się pod użytkowników Azure AD i uzyskać dostęp do poczty przedsiębiorstwa. Nie ma żadnych przesłanek, że klucze Azure AD lub jakiekolwiek inne klucze MSA były używane przez tego atakującego. OWA i Outlook.com to jedyne serwisy, w których zaobserwowano ten rodzaj aktywności.
W odpowiedzi na ataki Microsoft podjął proaktywne działania. Po pierwsze, zablokował użycie tokenów podpisanych przez przejęty klucz MSA w OWA, co uniemożliwiło dalszą aktywność w poczcie e-mail. Po drugie, ukończył wymianę klucza, aby uniemożliwić atakującemu jego używanie do fałszowania tokenów. Po trzecie, zablokował użycie tokenów wydanych z kluczem dla wszystkich klientów indywidualnych, których to dotyczy.