Qualche giorno fa vi avevamo riportato la notizia che Microsoft è stata vittima di un attacco informatico che, ha portato a un monitoraggio delle email dei dirigenti per due mesi.
Oggi è stato riportato, dalla stessa Microsoft, che per via di un errore, sono stati concessi a un vecchio account test, i privilegi amministrativi. Questo nuovo dettaglio ha ampliato la divulgazione effettuata venerdì scorso.
Gli hacker, presumibilmente di origine russa e appartenenti al gruppo Nobelium, hanno utilizzato una tecnica chiamata "password spraying" per sfruttare credenziali deboli e ottenere accesso a un "account di test legacy" non protetto da autenticazione multifattore.
L'accesso ottenuto all'account di test ha permesso agli hacker di compromettere gli account email appartenenti a dirigenti senior e dipendenti dei team di sicurezza e legali.
In particolare, gli hacker hanno abusato del protocollo di autorizzazione OAuth, ampiamente utilizzato per consentire alle applicazioni di accedere alle risorse di una rete.
Dopo aver compromesso l'account di test, il gruppo Nobelium ha creato un'applicazione dannosa e le ha assegnato diritti di accesso a tutti gli indirizzi email su Office 365 di Microsoft.
L'aggiornamento di giovedì da parte di Microsoft ha fornito ulteriori dettagli su questo grave errore, sottolineando che gli hacker hanno creato e sfruttato applicazioni OAuth dannose, mantenendo l'accesso anche dopo la perdita dell'account inizialmente compromesso.
Inoltre, è stato creato un nuovo account utente per concedere il consenso alle applicazioni OAuth controllate dagli hacker nell'ambiente aziendale di Microsoft. Infine, gli hacker hanno utilizzato l'applicazione OAuth per assegnarsi il ruolo full_access_as_app di Office 365 Exchange Online, consentendo l'accesso completo alle caselle di posta.
Kevin Beaumont, esperto di sicurezza e ricercatore con esperienza in Microsoft, ha evidenziato che l'assegnazione del ruolo full_access_as_app richiede privilegi amministrativi e ha sottolineato che si è verificato un "errore di configurazione abbastanza grande in produzione".
L'incidente solleva preoccupazioni sulla sicurezza delle procedure di test e autenticazione di Microsoft, evidenziando la necessità di rafforzare le misure di sicurezza per impedire futuri accessi non autorizzati.