Cyberthreat.id – Serangan aktor negara-bangsa China yang disebut Storm-0558 terhadap infrastruktur email Microsoft baru-baru ini ternyata memiliki cakupan lebih luas dari yang diperkirakan sebelumnya.

Menurut perusahaan keamanan cloud Wiz, kunci penandatanganan konsumen akun Microsoft (MSA) yang tidak aktif digunakan untuk memalsukan token Azure Active Directory (Azure AD atau AAD) untuk mendapatkan akses terlarang ke Outlook Web Access (OWA) dan Outlook.com juga memungkinkan peretas memalsukan token akses untuk berbagai jenis aplikasi Azure AD.

Ini termasuk setiap aplikasi yang mendukung autentikasi akun pribadi, seperti OneDrive, SharePoint, dan Teams; aplikasi pelanggan yang mendukung "Login dengan fungsionalitas Microsoft", dan aplikasi multi-penyewa dalam kondisi tertentu.

"Segala sesuatu di dunia Microsoft memanfaatkan token autentikasi Azure Active Directory untuk akses," kata Ami Luttwak, chief technology officer dan salah satu pendiri Wiz, dalam sebuah pernyataan sebagaimana dikutip The Hacker News.

"Penyerang dengan kunci penandatanganan AAD adalah penyerang paling kuat yang dapat Anda bayangkan, karena mereka dapat mengakses hampir semua aplikasi – sebagai pengguna mana pun. Ini adalah kekuatan super pengubah bentuk."

Microsoft, minggu lalu, mengungkapkan teknik pemalsuan token dieksploitasi oleh Storm-0558 untuk mengekstrak data yang tidak terklasifikasi dari kotak surat korban, tetapi kontur yang tepat dari kampanye spionase dunia maya masih belum diketahui.

Pembuat Windows itu mengatakan masih menyelidiki bagaimana peretas berhasil memperoleh kunci penandatanganan konsumen MSA. Tetapi tidak jelas apakah kunci tersebut berfungsi sebagai semacam kunci utama untuk membuka akses ke data milik hampir dua lusin organisasi.

Analisis Wiz mengisi beberapa kekosongan, dengan perusahaan menemukan bahwa "semua aplikasi akun pribadi Azure v2.0 bergantung pada daftar 8 kunci publik, dan semua aplikasi Azure multi-penyewa v2.0 dengan akun Microsoft diaktifkan bergantung pada daftar 7 kunci publik."

Lebih lanjut ditemukan bahwa Microsoft mengganti salah satu kunci publik yang terdaftar (cap jempol: "d4b4cccda9228624656bff33d8110955779632aa") yang telah ada setidaknya sejak 2016 antara 27 Juni 2023, dan 5 Juli 2023, sekitar periode yang sama perusahaan mengatakan telah mencabut kunci MSA.

"Ini membuat kami percaya bahwa meskipun kunci yang disusupi yang diperoleh Storm-0558 adalah kunci pribadi yang dirancang untuk penyewa MSA Microsoft di Azure, itu juga dapat menandatangani token OpenID v2.0 untuk berbagai jenis aplikasi Azure Active Directory," kata Wiz.

"Storm-0558 tampaknya berhasil mendapatkan akses ke salah satu dari beberapa kunci yang dimaksudkan untuk menandatangani dan memverifikasi token akses AAD. Kunci yang disusupi dipercaya untuk menandatangani token akses OpenID v2.0 apa pun untuk akun pribadi dan audiens campuran (multi-penyewa atau akun pribadi) aplikasi AAD."

Ini secara efektif berarti bahwa celah secara teoritis dapat memungkinkan aktor jahat memalsukan token akses untuk dikonsumsi oleh aplikasi apa pun yang bergantung pada platform identitas Azure.

Lebih buruk lagi, kunci pribadi yang diperoleh dapat dipersenjatai untuk memalsukan token untuk mengautentikasi sebagai pengguna mana pun ke aplikasi yang terpengaruh yang mempercayai sertifikat audiens campuran dan akun pribadi Microsoft OpenID v2.0.

"Kunci penandatanganan penyedia identitas mungkin merupakan rahasia paling kuat di dunia modern," kata peneliti keamanan Wiz Shir Tamari. "Dengan kunci penyedia identitas, seseorang dapat memperoleh akses langsung ke semua hal, kotak email apa pun, layanan file, atau akun cloud."[]