Retour sur le grave acte de cyberespionnage sur le cloud de Microsoft

 

Les congés d’été sont passés, les choses sérieuses redémarrent. Surtout qu’un incident très grave de sécurité avec vol de données s’est déroulé à partir du 15 mai mais n’a été révélé que le 11 juillet par Microsoft alors que la période estivale démarrait. 

Les emails (et donc pièces jointes) hébergés sur Exchange et Outlook Web Access sur le SaaS de Microsoft de presque 25 organisations incluant des entités du gouvernement américain ont été piratés probablement par la Chine dans une action d’espionnage. Cela incluant les emails du Département d’État (Ministère) des Affaires étrangères, du Secrétaire d’État du Commerce Gina Raimondo et de l’Ambassadeur Américain en Chine Nicholas Burns. Des organisations européennes auraient également été touchées.

Mais l’étendue de l’attaque n’est toujours pas révélée et ne le sera peut-être jamais, les enquêtes du FBI et des agences de sécurité continuant à l’heure actuelle.

La gravité de l’événement baptisé Storm-0558 (l’acte de cyber-espionnage sûrement le plus grave depuis Solarwind en 2020 où Microsoft avait également été mis en cause pour négligence) ainsi que le fait qu’il a été détecté par le client et non par Microsoft, tout cela a généré de nombreuses réactions mais deux sont beaucoup plus notables : celle du Sénateur Ron Wyden de l’Oregon et de Amit Yoran - CEO de Tenable, une des entreprises leaders dans les audits de sécurité (et que nous utilisons chez CEO-Vision pour les audits automatiques de sécurité de GoFAST).

La réaction du Sénateur Ron Wyden a pris la forme d’un courrier officiel au Ministre américain de la Justice (« Attorney general ») Merrick Garland, au Directeur du CISA et le Chairman de la FTC. Ce courrier demande :

  • Une enquête envers Microsoft de la part du Ministère de la Justice pour vérifier si les pratiques négligentes de Microsoft ont enfreint les lois fédérales
  • Une enquête envers Microsoft de la part de la FTC (« Federal Trade Commission ») pour vérifier que Microsoft n’a pas enfreint les lois fédérales notamment  « pratiques commerciales déloyales et trompeuses » et si la surveillance de 20 ans pour négligence en terme de sécurité suite à l’incident sur Microsoft Passeport en 2002 doit être de nouveau appliquée
  • Un audit de l’incident par le CISA (« Cybersecurity and Infrastructure Security Agency ».

À noter que ces éléments s’ajoutent aux investigations en cours du FBI, du CSRB « Cyber Safety Review Board » (Department of Homeland Security)  et d’autres agences de sécurité.

Pourquoi une action si globale du Sénateur Wyden et soulignant le caractère exceptionnel de l’incident en lui-même ? Voici en synthèse les raisons :

  1. En premier lieu parce que c’est le client lui-même qui s’est aperçu de la fuite des données (et plus d'un mois après le début des fuites) sur des applications SaaS de Microsoft et qu’ironiquement Brad Smith (Président chez Microsoft) avait indiqué dans une audition en 2021 au Sénat Américain concernant l’attaque Solarwind « ceux qui veulent la meilleure sécurité doivent migrer dans le Cloud » (Microsoft bien sûr)
  2. En 2eme lieu, la clef de chiffrement Microsoft volée qui a servi a créer le jeton d’authentification était expirée : en aucun cas cela aurait dû être possible
  3. La clef volée était de plus une clef « Consumer » qui n’aurait pas pu donner la possibilité (en plus de son expiration) de donner des droits « Enterprise » et encore moins « Gouvernement »
  4. Ensuite suivant les recommandations de Microsoft eux-même et de la NSA (et beaucoup d’autres organismes de sécurité comme le NIST), de nombreuses normes  comme PCI-DSS, ISO 27001 ou directives type RGPD..., ce type de clefs doivent être stockées dans un HSM (« Hardware Security Module ») qui sont des périphériques physiques renforcés et réputés inviolables.
  5. Enfin la clef de chiffrement avait une validité de 5 ans alors que là aussi les recommandations sont des périodes beaucoup plus courtes. Même pour le chiffrement des sites Internet cette durée est maintenant d’un an seulement.

À noter enfin, que la société de conseil en sécurité informatique « Wiz » affirme dans un billet détaillé que l’attaque aurait pu également être utilisée pour attaquer d’autres services qu’Outlook Web Access et Exchange Online mais aussi SharePoint Online, Teams, OneDrive, et d’autres services de Microsoft dont certains « multi-tenants » (services partagés entre plusieurs clients)

Pour sa part, le CEO de Tenable dont la société a remonté une faille critique non corrigée plusieurs mois après le signalement indique : « Le manque de transparence de Microsoft s'applique aux fuites de données, aux pratiques de sécurité irresponsables et aux vulnérabilités, qui exposent tous leurs clients tout en les laissant délibérément dans le noir ».

Enfin, à notre échelle nous avions dû bloquer coté GoFAST les requêtes effectuées par des produits Microsoft qui continuaient d’utiliser des protocoles réputés comme non sécurisés et ceci depuis des années (TLS 1.0 et 1.1).

Enfin on notera l’article « Forbes » qui explique qu’avec une telle attaque les Conseils d’Administration des organisations, notamment des entreprises cotées doivent être mieux impliqués et préparées sur les grands enjeux et contrôles de la sécurité du système d’information.

On peut rajouter qu’il y a un risque de plus en plus important qu’en cas de fuite de données stratégiques, que des niveaux de plus en plus élevés dans l’organisation (Direction Générale  voire Conseil d’administration) soient considérés comme co-responsables des choix faits (externalisation, ...) et non plus uniquement le DSI et le RSSI.

Cette attaque soulève aussi la question de la responsabilité légale de Microsoft, la sécurité de l’offre SaaS Office 365 de Microsoft étant sous sa responsabilité. En plus des enquêtes fédérales demandées, si des entreprises privées ont été touchées, dans le futur des actions en justice voire des « class actions » sont potentiellement possibles.

Enfin il y a quelques jours Microsoft a révélé comment la clef a été volé pour cette campagne de cyberespionnage. Un « crash dump » (état d’un serveur/application lors d’un crash) contenant la clef stratégique s’est retrouvé par erreur et non détecté sur un environnement de débogage accessible du réseau corporate de Microsoft, réseau accédé par le groupe Chinois en compromettant le poste d’un ingénieur de Microsoft par un malware.

On voit que malgré la promesse par Microsoft d’un environnement plus sécurisé en SaaS que Onpremise, le chemin reste long pour que la promesse puisse être tenue, surtout avec le nombre de dysfonctionnements internes révélés, et un peu problématique à expliquer quand on fait 42% de marge opérationnelle et 72 milliards de bénéfice net...

 

Christopher Potter, Président & Fondateur, CEO-Vision S.A.S éditeur de la plateforme GoFAST DigitalWorkplace & GED

Autres articles du même auteur :

Références :

https://www.wyden.senate.gov/imo/media/doc/wyden_letter_to_cisa_doj_ftc_re_2023_microsoft_breach.pdf

https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-breached-us-govt-exchange-email-accounts/

https://www.securityweek.com/microsoft-cloud-hack-exposed-more-than-exchange-outlook-emails/

https://techcrunch.com/2023/08/15/house-republican-emails-china-microsoft-cloud-hack/

https://techcrunch.com/2023/07/17/microsoft-lost-keys-government-hacked/

https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr

https://www.theregister.com/2023/07/21/microsoft_key_skeleton/

https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/

https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/

https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/

https://www.linkedin.com/pulse/microsoftthe-truth-even-worse-than-you-think-amit-yoran/

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/tls-1-0-and-tls-1-1-soon-to-be-disabled-in-windows/ba-p/3887947

https://www.dhs.gov/news/2023/08/11/department-homeland-securitys-cyber-safety-review-board-conduct-review-cloud

https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/?ref=thestack.technology

https://techcrunch.com/2023/09/08/microsoft-hacker-china-government-storm-0558/

Autres ressources :

Forbes « Microsoft Security Breach: A Wake-Up Call For Board Of Directors » https://www.forbes.com/sites/betsyatkins/2023/07/18/microsoft-security-breach-a-wake-up-call-for-board-of-directors/?sh=26446131c959

NIST SP 800-57 Part 1 Rev. 5 : "Recommendation for Key Management" https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final

https://www.computerworld.com/article/3612191/does-microsoft-share-blame-for-the-solarwinds-hack.html

NSA « Detecting Abuse of Authentication Mechanisms » https://media.defense.gov/2020/Dec/17/2002554125/-1/-1/0/AUTHENTICATION_MECHANISMS_CSA_U_OO_198854_20.PDF

À propos GoFAST-Team

Découvrir GoFAST avec l'un de nos chargés de projet !

En finir rapidement avec la bazar du serveur de fichiers et le trop d'emails grâce à un vrai Digital Wokplace clefs en main, ou vérifier si la plateforme GoFAST correspond à votre projet spécifique et aux attentes des Directions métiers...
N'hésitez pas à nous contacter !