Microsoft는 중국 해커 그룹이 어떻게 정부 이메일 계정에 액세스할 수 있었는지 설명합니다.

지난 7월, Microsoft는 Storm-0558이라는 이름의 중국 해커 그룹이 미국과 서유럽의 정부 이메일 계정에 접근할 수 있었다고 밝혔습니다. 회사는 이 그룹이 “OWA 및 Outlook.com에 액세스하기 위해 토큰을 위조하기 위해 획득한 MSA 키를 사용했다”고 밝혔습니다. “공격자는 Azure AD 사용자를 가장하고 기업 메일에 액세스하기 위해 토큰 유효성 검사 문제를 악용했습니다”라고 덧붙였습니다.

Microsoft는 MSA(Microsoft 계정) 키를 획득한 방법과 소비자 키가 기업 Outlook 이메일 계정에 액세스할 수 있었던 방법에 대한 조사를 시작했습니다. 이번 주에 회사는 Microsoft 보안 대응 센터 웹사이트에 조사 결과를 게시했습니다 .

Microsoft는 2년 전에 발생한 사건으로 인해 그룹이 MSA 키에 액세스하게 되었다고 밝혔습니다.

조사에 따르면 2021년 4월 소비자 서명 시스템 충돌로 인해 충돌된 프로세스의 스냅샷(“크래시 덤프”)이 생성된 것으로 나타났습니다. 민감한 정보를 수정하는 크래시 덤프에는 서명 키가 포함되어서는 안 됩니다. 이 경우 경쟁 조건으로 인해 크래시 덤프에 키가 존재할 수 있었습니다(이 문제는 수정되었습니다). 크래시 덤프에 있는 키 자료가 당사 시스템에서 감지되지 않았습니다.

Microsoft는 크래시 덤프 데이터가 표준 절차인 “격리된 프로덕션 네트워크에서 인터넷에 연결된 기업 네트워크의 디버깅 환경으로 이동”되었다고 덧붙였습니다. 그러나 크래시 덤프 데이터를 검색해도 MSA 키가 감지되지 않았습니다. Microsoft는 이 문제도 해결되었다고 말합니다.

회사는 Storm-0558이 Microsoft 엔지니어 중 한 명의 회사 계정을 손상시켜 크래시 덤프 데이터에서 MSA 키를 얻을 수 있었다고 믿습니다. 특정 계정이 손상되었음을 가리키는 직접적인 증거는 없지만 Microsoft는 “이것이 공격자가 키를 획득한 가장 가능성 있는 메커니즘”이라고 믿습니다.

마지막으로 회사는 Storm-0558이 MSA 키를 복제하여 API 업데이트 중 오류로 인해 기업 이메일 계정에 액세스하는 데 사용되는 키로 전환할 수 있다고 믿고 있습니다.

기존 문서 라이브러리 및 도우미 API의 일부로 Microsoft는 암호화 방식으로 서명의 유효성을 검사하는 데 도움이 되는 API를 제공했지만 이 범위 유효성 검사를 자동으로 수행하도록 이러한 라이브러리를 업데이트하지 않았습니다(이 문제는 수정되었습니다). 메일 시스템은 2022년에 공통 메타데이터 엔드포인트를 사용하도록 업데이트되었습니다. 메일 시스템의 개발자는 라이브러리가 전체 유효성 검사를 수행하고 필수 발급자/범위 유효성 검사를 추가하지 않았다고 잘못 가정했습니다. 따라서 메일 시스템은 소비자 키로 서명된 보안 토큰을 사용하여 기업 이메일에 대한 요청을 수락합니다(이 문제는 업데이트된 라이브러리를 사용하여 수정되었습니다).

정부 이메일 계정 해킹 사건이 발견된 이후 마이크로소프트는 MSA 키 사용을 차단하고, 해당 키와 함께 발급된 토큰의 사용도 차단했다. 지난 8월, 미국 정부의 사이버안전검토위원회(CSRB)는 이 사건에 대해 자체 조사를 실시할 것이라고 발표했습니다 . 클라우드 컴퓨팅 시스템과 기업 전반을 노리는 해커들을 종합적으로 조사하는 부분이 될 것이다.