Er is recent aan het licht gekomen dat de Chinese staatshackers die zichzelf toegang verschaften tot de emailservers van verschillende Amerikaanse organisaties en overheidsinstellingen,
officiële Azure Active Directory-ondertekeningssleutels gebruikten. Echter heeft Microsoft nog geen idee hoe dit heeft kunnen gebeuren en hoe de hackers aan de sleutels zijn gekomen.
Bleeping computer houdt zich met de zaak bezig en stelt dat in de dagen na de ontdekking van de ongewenst verkregen toegang tot de servers, Microsoft nog steeds niets raars kon vinden in zijn systemen. Het gaat volgens het bedrijf niet om een uitbuitbare kwetsbaarheid of iets in die trant. Wat wel duidelijk is, is dat de hackers ondertekeningssleutels hebben kunnen bemachtigen voor niet-actieve Microsoft-accounts. Omdat de hackers met -als het ware- passende sleutels waren binnengekomen duurde het ook meer dan een maand alvorens de hack werd opgemerkt. Hierdoor is ook nog steeds niet duidelijk hoeveel data precies gestolen of gemanipuleerd is.
Het onderzoek van Microsoft begon halverwege juni, en al snel bleek dat de Chinese cyberspionagegroep Storm-0558 b achter de acties zit. Met de sleutels werden nieuwe authenticatietokens gemaakt waarmee gemakkelijk op de servers gekomen kon worden. Met deze ‘legitieme’ toegang konden de hackers vrij doen en laten wat ze wilden, zoals emails en hun bijlages stelen.
Aan het begin van juli, dus toen Microsoft al door begon te hebben dat er iets niet pluis was, werden alle Azure-gebruikers die mogelijk slachtoffer waren van de hack afgesloten door hun sleutels te blokkeren. De infrastructuur die de hackers hadden opgezet was toen ook al afgesloten en ontmanteld.