A maggio, un gruppo di hacker chiamato Storm-0558 ha avuto accesso alle e-mail e ad altri dati delle autorità statunitensi. Per molto tempo non ci si è accorti di quello che stava succedendo e si sottovalutava la sua vastità. A quanto pare, ciò è dovuto anche a Microsoft.
Come si è verificato l'hack?
Anche la «Cybersecurity & Infrastructure Security Agency» (CISA) non si allarma inizialmente. Si pensava che il contenuto delle e-mail in questione fosse innocuo. Microsoft ha anche ipotizzato un tentativo di spionaggio, ma non di sabotaggio. Tuttavia, quest'ipotesi non ha retto.
Perché nessuno se n'è accorto?
Ora, però, questa vicenda porta alla luce questioni e problemi più grandi che non riguardano solo l'hack. La prima domanda da porsi è perché la gravità dell'hack sia emersa così tardi, ovvero diverse settimane dopo gli attacchi.
Chiave rubata e copiata
La chiave rubata non era un token copiato, ma una chiave di firma OpenID per l'AAD. Si può pensare che sia una sorta di chiave principale del sistema cloud di Microsoft.
Microsoft ha ora bloccato la chiave. Quindi non dovrebbero essere possibili ulteriori accessi. Tuttavia, non si può escludere che negli account precedentemente compromessi sia stata inserita una backdoor, in modo che questa chiave non sia più necessaria.
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
A metà luglio è stato reso noto che un sospetto gruppo di hacker cinesi chiamato Storm-0558 ha lanciato un attacco informatico e ottenuto così accesso alla posta elettronica di 25 diversi account di e-mail governative statunitensi. Tuttavia, la corrispondenza elettronica non è stata accessibile agli aggressori soltanto una volta, ma per ben circa un mese. Il periodo di inizio dell'hack, a maggio, è stato particolarmente critico. Il Segretario di Stato americano Tony Blinken ha incontrato in Cina funzionari del governo cinese per negoziare importanti accordi commerciali.
Si ritiene che l'origine dell'hack di Storm-0558 sia una vulnerabilità di Outlook Web Access (OWA) e Outlook.com di Microsoft. Il gruppo di hacker è riuscito a falsificare un token di autenticazione per l'accesso, il quale gli ha permesso di impersonare utenti di Azure Active Directory (AAD). In questo modo hanno superato il processo di convalida e ottenuto l'accesso ai conti e-mail. Ma non dovrebbe nemmeno funzionare così. Secondo la descrizione del servizio di Microsoft, questa modalità di autenticazione sarebbe prevista solo per gli account privati, ma non per quelli aziendali in AAD. Microsoft non può (o non vuole) spiegare come ciò sia stato possibile.
Il Segretario di Stato americano Blinken si è recato in Cina. Fonte: Immagine: Shutterstock
Gli accessi non autorizzati sono stati scoperti solo dopo uno studio approfondito dei protocolli di log dettagliati da parte di un'autorità statunitense. Per visualizzare questi protocolli, è necessario un abbonamento denominato «Microsoft Purview Audit (Premium)». Si tratta di uno strumento che registra in modo dettagliato tutto ciò che accade in un sistema. Il costo è extra e non è incluso nel pacchetto standard di Microsoft. Un cliente che non vuole (o non può permettersi) questo strumento, non verrebbe a conoscenza di determinati questioni. In breve: la scoperta sarebbe rimasta nascosta ai clienti senza questo abbonamento aggiuntivo.
Oltre agli esperti, anche i politici hanno espresso critiche. Non senza motivo: il governo statunitense sta per intraprendere una strategia di cybersecurity basata sul cloud. Questo è quanto emerge da un comunicato stampa del CISA. Con incidenti come questi, i piani vengono silurati. Come Microsoft ha ora annunciato, Purview Audit (Premium) sarà incluso gratuitamente nella soluzione di sicurezza in futuro.
Come è stato scoperto, l'incidente potrebbe avere conseguenze molto più ampie di quanto inizialmente ipotizzato. La società di sicurezza Wiz sostiene di essere riuscita a identificare la chiave Microsoft con cui gli hacker sono riusciti a spiare le e-mail, grazie a delle chiavi di firme valide, disponibili pubblicamente.
Wiz mostra il problema con questo grafico. Fonte: Immagine: Wiz
Per capire cos'è successo (o sarebbe potuto succedere), bisogna capire cos'è una chiave di firma e cos'è un token. Lo illustro con un esempio. Immagina di voler viaggiare in un Paese per il quale ti serve un visto. Ma poiché non hai l'autorizzazione di viaggiare in questo Paese, non ottieni un visto e ti verrebbe negato l'ingresso dalle guardie di frontiera. Quindi falsifichi e crei un visto che assomigli all'originale. Questo è il token. Poi ti rechi all'ambasciata del Paese di destinazione, dove vengono firmati i visti. La chiave di firma, per così dire. Il tuo visto falso non verrebbe firmato così, ma tu corrompi il sistema. Lo comprometti per ottenere la firma. Le guardie di frontiera vedono la firma e ti lasciano entrare nel Paese. È questo che succede in termini semplici – tranne per il fatto che la chiave di firma generata dall'hack può firmare questi «visti» non solo per un Paese, ma per decine.
Come suggerisce l'ultima parte del nome, si tratta di una directory. In questo caso, un servizio di directory basato sul cloud di Microsoft dove vengono memorizzati e gestiti le identità, i diritti di accesso e i ruoli degli utenti per determinati servizi. Questa è la funzione principale. L'operazione può essere eseguita tramite un'interfaccia grafica o tramite Windows PowerShell. Inoltre, esistono interfacce con le quali è possibile collegare AAD alle proprie directory utenti locali. Da un lato, Microsoft stessa utilizza l'AAD, ad esempio per la gestione degli utenti di Microsoft 365. Ma anche altre aziende affittano il servizio AAD da Microsoft per potervi gestire gli account utente dei loro servizi.
Wiz spiega che, secondo le loro scoperte, gli aggressori non solo hanno avuto un potenziale accesso a «Exchange Online», ospitato da Microsoft, ma anche a tutte le aree del cloud di Microsoft. Quindi a Office, Teams, Sharepoint e Outlook. Ma a quanto pare non è tutto. Perché, come spiega Wiz, la chiave rubata potrebbe firmare qualsiasi token di accesso OpenID. Questo a sua volta significherebbe che, in teoria, gli hacker potrebbero accedere a qualsiasi applicazione cloud la cui convalida dell'identità è basata su Azure Active Directory, indipendentemente dall'azienda. Anche gli account che offrono il «Login con Microsoft» ne sarebbero colpiti, come GitHub ad esempio.
La situazione descritta da Wiz non è (ancora) stata confermata da Microsoft. Anche se non ho tanti dubbi sulla valutazione di Wiz. Se queste possibilità siano state effettivamente sfruttate dagli hacker, e in che misura, resta per il momento incerto. In primo luogo, si dovrebbe procedere a una revisione di tutti gli account Microsoft, compresi quelli basati su AAD. Ma come funzionerebbe? Comunque sia, si tratta di un fiasco di proporzioni epiche per Microsoft. Inoltre, questa strategia di non comunicazione o di comunicazione quasi nulla non è assolutamente trasparente e, a mio avviso, fuori luogo. È successo quel che è successo, ora bisogna trarne le conseguenze. Altrimenti, la fiducia in Microsoft ne risentirà più di quanto non lo stia già facendo.
