Storm-0558 är dagens ämne och illustreras av en brevlåda. Tror det är för att det är Outlook online.
Avsnittet: 313 – Storm-0558 – Microsoft-incidenten 2023
Inspelat: 2025-12-16 (publicerat 2025-12-16)
Deltagare: Erik Zalitis och Mattias Jadesköld
Lyssna på avsnittet – Storm-0558
Medan du lyssnar
Slop, slop, slop, glorious ai-slop.
Fatta att denna ”sloppiga” AI-baserade YouTube-kanal har fler tittare än vi har lyssnare. Vem sa att livet är rättvist?
Juletiden sänker sig långsamt över vårt avlånga land och vi känner oss lite avslappnade. Därför passar vi på att spåra ur tidigt i avsnittet och snacka AI och hur det gladeligen sprider felaktigheter, som sedan läggs ut på nätet av oanade kreatörer. Detta snappar AI-bottarna upp och sedan blir lögnen en sanning. Rätt oroande om det inte fixas. Var försiktig att lite på allt AI säger utan minst tillstymmelse till tvivel.
Vibe-kodning: en studie i att skapa dåliga program
Nej, nej, nej, nej! Låt bli. Vi behöver inte mer osäker kod på Internet. Ingenting blir bra med vibe-kodning. Först och främst: AI-stöd i utveckling är inte ”vibe-kodning” och är ett användbart verktyg. ”Vibe-kodning” är att låta av AI bygga och avlusa hela koden utan att titta på den. Det slutar antingen med en soppa som inte fungerar överhuvudtaget och sedan är det slut med dina tokens och agenten vägrar att hjälpa dig. Eller så fungerar/kompilerar koden och du släpper den till allmänheten utan någon form av kodgranskning eller pentest.
För att parafrasera Nancy Reagan: ”Just say no”.
Några klargöranden från avsnittet
- Microsoft råkar läcka nyckeln till secure boot.
Vi kommer strax in på ämnet Storm-0558. Detta låter värre när jag säger det än det är. Behöver nog klargöra det hela:
What Microsoft did was to put a piece of code in a signed bootmgr (Windows bootloader) that allows it to load ”supplemental” policies – it’s all good but they screwed up order of things and because of that now you can load self-signed ”supplemental” policies.
Det är dock ganska illa ändå och kan användas för att göra precis vad jag säger: lägga in skadlig kod i uppstarten av Windows.
- Microsoft kan inte återta läckt PKI-nyckel till Windows XP.
De säger ju att Internet aldrig glömmer. Men det känns som det inte är så när jag försöker hitta nyheten. Detta hände någon gång på 00-talet. Så jag får återkomma när jag hittat den.
Storm-0558 hur det hela gick till
Så till avsnittets huvudämne, Storm-0558. Jag snor lite ur våra minnesanteckningar för detta.
Bakgrunden
- Sommaren 2023 går Microsoft ut med att de upptäckt ett pågående intrång i sina molntjänster.
- En avancerad hotaktör har haft åtkomst till mejl i:
- Outlook.com
- Exchange Online (Microsoft 365)
- Drabbade organisationer inkluderar:
- Amerikanska myndigheter
- Europeiska institutioner
- Diplomatiska representationer
Storm-0558
- Hotaktören får beteckningen Storm-0558.
- Microsoft och amerikanska myndigheter kopplar aktören till Kina.
- Syftet bedöms vara underrättelseinhämtning, inte sabotage.
Det allvarliga
- Intrånget pågick i flera veckor.
- Upptäckten skedde först efter extern indikation.
- Angriparen hade tillgång till både innehåll och metadata i mejl.
Vad var det som egentligen hände när Storm-0558 slog till?
Den tekniska kärnan
- En Microsoft-signeringsnyckel hade komprometterats.
- Nyckeln användes för att signera autentiseringstokens (JWT).
- Tokens såg helt legitima ut för Microsofts egna system.
Konsekvensen
- Azure AD / Entra ID accepterade token som giltig.
- Angriparen kunde:
- Utge sig för att vara valfri användare
- Komma åt mejl utan lösenord
- Passera förbi MFA och Conditional Access
Viktigt: anvående Storm-0558 och attacken
- Inga kundlösenord stals.
- Inga kundkonton knäcktes.
- Det var själva tillitskedjan som brast.
Vi diskuterar problemet med tilit och situationen framåt. Sedan är det dags att avsluta för denna gång. Vi har någon riktigt coolt på gång till nästa avsnitt, men ingen idé att avslöja det ännu.
Länkar – Storm-0558
Felaktigheter
- Inget att rapportera denna gång. Kommentera gärna om ni
inte håller med omhittar fel i något vi sagt.