Microsoft는 중국 해커가 정부 이메일 계정에 액세스한 방법에 대한 자세한 정보를 제공합니다.

지난 주 Microsoft는 중국 해커 그룹이 미국과 유럽의 정부 이메일 계정에 액세스했다고 보고했습니다 . 특히 해커 그룹은 Exchange Online과 Outlook.com에서 Microsoft의 Outlook Web Access를 사용하는 전자 메일 계정을 입력했습니다.

후속 블로그 게시물 에서 Microsoft는 Storm-0558로 알려진 이 그룹이 회사의 온라인 시스템을 사용하여 이러한 계정에 대한 액세스 권한을 얻은 방법에 대한 자세한 내용을 제공했습니다. 마이크로소프트는 다음과 같이 말했습니다.

Storm-0558은 비활성 MSA 소비자 서명 키를 획득하고 이를 사용하여 Azure AD 엔터프라이즈 및 MSA 소비자가 OWA 및 Outlook.com에 액세스할 수 있도록 인증 토큰을 위조했습니다. 행위자가 획득한 MSA 서명 키를 포함하여 사건 이전에 활성화된 모든 MSA 키는 무효화되었습니다. Azure AD 키는 영향을 받지 않았습니다. 공격자가 키를 획득한 방법은 현재 조사 중인 문제입니다. 이 키는 MSA 계정 전용이었지만 유효성 검사 문제로 인해 Azure AD 토큰 서명에 이 키를 신뢰할 수 있었습니다. 이 문제는 수정되었습니다.

이 블로그는 또한 해커 그룹이 이 서명 키를 사용하여 웹 버전의 Outlook에 액세스하는 방법을 설명합니다.

위조된 토큰을 활용하는 적법한 클라이언트 흐름을 통해 인증되면 공격자는 OWA API에 액세스하여 OWA가 사용하는 GetAccessTokenForResource API에서 Exchange Online용 토큰을 검색합니다. 행위자는 설계 결함으로 인해 이 API에서 이전에 발행된 액세스 토큰을 제시함으로써 새로운 액세스 토큰을 얻을 수 있었습니다. GetAccessTokenForResourceAPI의 이 결함은 Azure AD 또는 MSA에서 각각 발행된 토큰만 수락하도록 수정되었습니다. 공격자는 이러한 토큰을 사용하여 OWA API에서 메일 메시지를 검색했습니다.

이 문제를 해결하기 위한 노력의 일환으로 Microsoft는 절차를 일부 변경했습니다.

여기에는 시스템 격리 강화, 시스템 활동 모니터링 개선, 엔터프라이즈 시스템에 사용되는 강화된 키 저장소로의 이동이 포함됩니다. 업데이트된 시스템을 사용하여 이전의 모든 활성 키를 취소하고 새 키를 발급했습니다. 우리의 적극적인 조사에 따르면 이러한 강화 및 격리 개선이 행위자가 MSA 서명 키를 획득하는 데 사용할 수 있다고 생각되는 메커니즘을 방해합니다.

마이크로소프트는 “이 사건과 관련된 모든 행위자의 활동이 차단됐다”고 주장하면서 아웃룩 웹 고객의 조치가 필요하지 않다고 말했습니다. 또한 “Storm-0558 활동을 계속 모니터링하고 고객을 위한 보호 조치를 구현할 것입니다.