今年 7 月,微软披露,一个名为 Storm-0558 的已知中国黑客组织能够访问美国和西欧的政府电子邮件账户。该公司称,该组织"使用获取的 MSA 密钥伪造令牌访问 OWA 和 Outlook.com"。该公司补充说:"该行为者利用令牌验证问题,冒充 Azure AD 用户访问企业邮件。
阅读原文:
微软对 MSA(微软账户)密钥的获取方式以及消费者密钥如何访问企业 Outlook 电子邮件账户展开了调查。本周,该公司在其微软安全响应中心网站上公布了调查结果。
微软表示,两年多前发生的一起事件是导致该组织获得 MSA 密钥的原因:
我们的调查发现,2021 年 4 月的一次消费者签名系统崩溃导致了崩溃进程的快照("崩溃转储")。崩溃转储是对敏感信息的删减,不应包括签名密钥。在这种情况下,竞赛条件允许密钥出现在崩溃转储中(此问题已得到纠正)。我们的系统没有检测到崩溃转储中存在密钥材料。
微软补充说,崩溃转储数据随后被从"隔离的生产网络转移到我们在连接互联网的公司网络上的调试环境中",这是标准程序。但是,对崩溃转储数据的扫描没有检测到 MSA 密钥。微软表示,这一点也已得到修复。
该公司认为,Storm-0558 是通过入侵微软一名工程师的公司账户,从崩溃转储数据中获取 MSA 密钥的。目前还没有直接证据表明特定账户被入侵,但微软确实认为"这是该行为者获取密钥的最有可能的机制"。
最后,该公司认为 Storm-0558 能够复制 MSA 密钥并将其转化为用于访问企业电子邮件帐户的密钥,是因为在更新 API 时出现了错误:
作为预先存在的文档库和辅助 API 的一部分,微软提供了一个 API 来帮助加密验证签名,但没有更新这些库以自动执行此范围验证(此问题已得到纠正)。邮件系统已于 2022 年更新为使用通用元数据端点。邮件系统的开发人员错误地认为库执行了完整的验证,而没有添加所需的签发人/范围验证。因此,邮件系统会接受使用消费者密钥签名的安全令牌发送企业电子邮件的请求(这个问题已通过使用更新的库得到纠正)。
政府电子邮件账户黑客事件被发现后,微软阻止了 MSA 密钥的使用,同时也阻止了使用该密钥签发的令牌。今年 8 月,美国政府的网络安全审查委员会(CSRB)宣布将对该事件进行调查。这将是对黑客攻击云计算系统和公司的总体调查的一部分。