La Casa di Redmond avrebbe bloccato un attacco di provenienza cinese diretto contro il servizio di posta elettronica Outlook. Protagonisti dell’azione malevola sarebbero stati i componenti del gruppo Storm-0558 che per la loro incursione avrebbero cercato di sfruttare una vulnerabilità presente nell’infrastruttura Cloud della piattaforma.
Lo scopo dell’attacco sarebbe stato quello di violare gli account e-mail collegati ad alcune agenzie governative che organizzano la propria corrispondenza attraverso la soluzione di Microsoft. Nelle ore precedenti la compagnia di Satya Nadella era stata impegnata contro una campagna di phishing lanciata dal gruppo russo Storm-0978 e basata sulla diffusione di file Word infetti.
Si sarebbe quindi trattato di un episodio di cyberspionaggio internazionale finalizzato alla sottrazione di dati riservati in ambito istituzionale. L’intervento di Microsoft sarebbe partito in seguito alle segnalazioni di attività sospette da parte di alcuni utenti, mentre i primi accessi da parte degli attaccanti si sarebbero verificati a metà di maggio 2023.
I servizi coinvolti sarebbero stati nello specifico Outlook.com e Outlook Web Access in Exchange Online, per violarli i membri di Storm-0558 avrebbero sfruttato una chiave Microsoft Account riuscendo ad utilizzare sempre la stessa su piattaforme differenti. La vulnerabilità avrebbe riguardato infatti un problema di verifica dei token per l’accesso ad Azure.
Attualmente tutti i token firmati con la chiave MSA usata durante l’attacco sarebbero stati bloccati, nello stesso modo i tecnici della compagnia di Seattle avrebbero sostituito la chiave evitando che potesse essere utilizzata per altre procedure di validazione. Le agenzie governative interessate sarebbero state già informate dell’accaduto.