Ahogy arról korábban mi is beszámoltunk, a Microsoft nemrégiben nyilvánosságra hozta, hogy egy feltételezhetően kínai kötődésű banda hekkerei május 15-től kezdődően mintegy 25 kormányzati szervezet Outlook-rendszeréhez férhettek hozzá, valamint feltörhették néhány, a szervezetekhez valamilyen módon kapcsolódó ember személyes fiókját is.

A még mindig több ponton tisztázatlan ügynek mostanra konkrét kötkezményei lettek, miközben Redmond gondjait szaporítja egy múlt hét pénteken megjelent szakértői elemzés. A Wiz Research anyagára már csak azért is érdemes odafigyelni, mivel a céget felhőbiztonságban utazó egykori Microsoft-mérnökök alapítottak.

Miközben Redmond hivatalos tájékoztatása alapján csak az Outlook.com és az Exchange Online alkalmazások váltak a token-hamisítási technikával elkövetett csalás áldozatává, a Wiz Research arra jutott, hogy a kompromittált aláírási kulcs sokkal tágabb lehetőséget adott visszaélések elkövetésére. A kutatók állítják, a kompromittált MSA-kulccsal hozzáférési tokeneket lehetett hamisítani egy seregnyi Azure Active Directory (ADD) alkalmazáshoz, beleértve minden olyan alkalmazást, amely támogatja a személyes fiókhitelesítést, például a SharePoint, a Teams, a OneDrive, vagy éppen az ügyfelek microsoftos felhasználói adatokkal elérhető alkalmazásai.

A Wiz Research elemzésének másik fontos eleme, hogy ugyan a Microsoft visszavonta a kompromittált kulcsok engedélyét, a potenciálisan érintett ügyfelek nehezen tudják nagy biztonsággal eldönteni, hogy érintettek-e a támadásban. Ennek okát a biztonsági cég kutatási vezetője a tokenellenőrzéssel kapcsolatos naplózás elmaradásában látja.

Szemenszedett spekuláció

Redmond a megjelent szakértői anyag ellenére nagyjából kitart a saját verziója mellett. Igaz, a Register kérdésére adott reakciójukban nem térnek ki arra, pontosan hol és miben tévedtek a Wiz Research munkatársai. A Microsoft helyette inkább azt emelte ki, hogy "a blogban megfogalmazott állítások közül sok spekulatív és nem bizonyítékokon alapul".

A cég továbbá azt is hangsúlyozta, hogy nemrégiben kibővítették a biztonsági naplózás elérhetőségét, így az alapértelmezés szerint több ügyfél számára vált ingyenessé. Mindezt pedig azért tették, hogy "segítsék a vállalkozásokat az egyre összetettebbé váló fenyegetések kezelésében".

Ahogy arra a Register is rámutat, a naplózás kiterjesztésében egyrészt szerepet játszhatott az amerikai kormányzat részéről érkező nyomás, másrészt nem elhanyagolható apróság, hogy mindez majd csak szeptembertől lép életbe. Az viszont lehet, hogy őszig sem derül ki, hogy pontosan miként tudott a Storm-0558 néven emlegetett csapat microsoftos autentikációt biztosító kulcsokat szerezni.

Egy dolog azért biztos: Peking csuklóból utasított vissza minden vádat, miszerint köze lenne az akcióhoz.