Крупное киберпроисшествие в США вызвано утечкой ключа из аварийного дампа Windows. Как выяснили эксперты Microsoft, китайская хакерская группировка Storm-0558 использовала украденный ключ подписи MSA для атак на Exchange Online и Azure Active Directory в более чем 20 правительственных учреждениях США.
Источником утечки данных стал рабочий компьютер одного из разработчиков Microsoft. Хакеры получили доступ к его корпоративному аккаунту, используя уязвимость нулевого дня. Это дало им возможность подделывать токены доступа и создавать аккаунты в сетях атакуемых организаций, оставаясь незамеченными.
Эксперты выяснили, что ключ MSA оказался в дампе из-за сбоя системы электронной подписи Windows в апреле 2021 года. Этот ключ не должен был попасть в дамп, который в итоге оказался вне защитной среды Microsoft. Система безопасности, предназначенная для выявления таких данных, не обнаружила ключа, позволив его перенос в отладочную среду и дальнейшую утечку.