È notizia delle ultime ore quella che Microsoft si è trovata a dover fronteggiare un attacco tutt'altro che di poco conto messo a segno da un gruppo di cybercriminali cinesi sfruttando Outlook.

Outlook: sotto attacco da Storm-0558

Nel dettaglio, a mettere a segno l'attacco è stato il gruppo denominato Storm-0558, il quale ha sfruttato una vulnerabilità del servizio cloud per accedere agli account email di alcune agenzie governative occidentali che usano Outlook, con lo scopo di trafugare informazioni riservate e credenziali e per mettere a segno ulteriori operazioni di spionaggio.

La scoperta è stata fatta successivamente alle segnalazioni ricevute dai clienti a partire dalla metà dello scorso mese. Il colosso di Redmond ha quindi provveduto ad avviare un’indagine che ha permesso di scoprire che i cybercriminali avevano ottenuto accesso agli account email già da metà maggio.

Andando più in dettaglio, Storm-0558 ha usato una chiave MSA (Microsoft Account) per ottenere token di autenticazione che consentono l’accesso ad Outlook.com e Outlook Web Access in Exchange Online.

Le chiavi MSA vengono emesse e gestite da sistemi separati e dovrebbero essere valide solo per i rispettivi sistemi, ma il gruppo di criminali informatici ha sfruttato a suo favore un problema nella validazione dei token riuscendo quindi ad aggirare le protezioni.

Tutte le organizzazioni interessate sono già state contattate da Microsoft. Inoltre, il colosso di Redmond ha implementato misure di sicurezza mirate, come il blocco dei token firmati con la chiave MSA e la sostituzione della chiave per evitare che possano essere generati nuovi token.