ไมโครซอฟท์ออกมาชี้แจงว่า ยังไม่ทราบว่าแฮ็กเกอร์จีนขโมยคีย์ที่ไมโครซอฟท์ใช้กู้บัญชีลูกค้า (Microsoft Account (MSA) Consumer Signing Key) แล้วเอาไปใช้แฮ็กบัญชี Exchange Online และ Azure AD ขององค์กร ยี่สิบกว่าแห่ง ที่รวมถึงบัญชีของรัฐบาลบางประเทศได้อย่างไร
สำหรับกรณีการโจมตีครั้งนี้รายงานขึ้นโดยเจ้าหน้าที่ทางการสหรัฐฯ หลังพบการเข้าถึงที่ไม่ได้รับอนุญาตไปยังบัญชีอีเมล Exchange Online ของหน่วยงานภาครัฐหลายแห่ง และไมโครซอฟท์ก็เริ่มสืบสวนตั้งแต่ 16 มิถุนายนจนพบความเชื่อมโยงกับแฮ็กเกอร์จีนชื่อ Storm-0558
กลุ่มแฮ็กเกอร์จีนนี้ได้เจาะบัญชีอีเมลรวมกว่า 25 แห่ง ซึ่งรวมถึงบัญชีของเจ้าหน้าที่กระทรวงพาณิชย์ของสหรัฐฯ ด้วย โดยใช้ไซนิ่งคีย์ของ Azure AD ขององค์กรเหล่านี้ในการสร้างโทเค่นยืนยันตัวตนผ่านช่องโหว่บน GetAccessTokenForResource API
Storm-0558 ใช้สคริปต์พาวเวอร์เชลล์และ Python สร้างโทเค่นใหม่ผ่าน Rest API ที่เรียกใช้บริการ OWA Exchange Store เพื่อจารกรรมข้อมูลอีเมลพร้อมไฟล์แนบ ซึ่งล่าสุดไมโครซอฟท์บล็อกคีย์ที่โดนขโมยพวกนี้ตั้งแต่วันที่ 3 กรกฎาคมแล้ว และพบว่าระบบที่ผู้โจมตีใช้รีเพลย์ก็ถูกปิดให้หลังภายในวันเดียวด้วย
อ่านเพิ่มเติมที่นี่ : BPC
