微軟解釋中國黑客組織如何訪問政府電子郵件帳戶

7月，微軟透露，一個名為Storm-0558的已知中國黑客組織能夠訪問美國和西歐的政府電子郵件帳戶。該公司表示，該組織“使用獲得的MSA 密鑰偽造令牌來訪問OWA 和Outlook.com。”它補充說，“攻擊者利用令牌驗證問題來冒充Azure AD 用戶並獲取對企業郵件的訪問權限。”

微軟啟動了一項調查，調查 MSA（Microsoft 帳戶）密鑰是如何獲取的，以及消費者密鑰如何能夠訪問企業 Outlook 電子郵件帳戶。本週，該公司在其微軟安全響應中心網站上發布了調查結果。

微軟表示，兩年多前發生的一件事是該組織獲得 MSA 密鑰的原因：”

我們的調查發現，2021 年 4 月的一次消費者簽名系統崩潰導致了崩潰進程的快照（“崩潰轉儲”）。崩潰轉儲會編輯敏感信息，不應包含簽名密鑰。在這種情況下，競爭條件允許密鑰出現在故障轉儲中（此問題已得到糾正）。我們的系統未檢測到故障轉儲中存在關鍵材料。

微軟補充說，故障轉儲數據隨後從“從隔離的生產網絡移至我們連接互聯網的企業網絡上的調試環境”。這是標準程序。但是，對故障轉儲數據的掃描未檢測到 MSA 密鑰。微軟表示這個問題也已得到解決。

該公司認為，Storm-0558 能夠通過損害 Microsoft 一名工程師的公司帳戶來從故障轉儲數據中獲取 MSA 密鑰。沒有直接證據表明特定帳戶受到損害，但微軟確實認為“這是攻擊者獲取密鑰的最有可能的機制。”

最後，該公司認為，由於更新 API 時出現錯誤，Storm-0558 能夠複製 MSA 密鑰並將其轉換為用於訪問企業電子郵件帳戶的密鑰：

作為預先存在的文檔和幫助程序 API 庫的一部分，Microsoft 提供了一個 API 來幫助以加密方式驗證簽名，但沒有更新這些庫以自動執行此範圍驗證（此問題已得到糾正）。郵件系統已於 2022 年更新為使用通用元數據端點。郵件系統中的開發人員錯誤地認為庫執行了完整的驗證，並且沒有添加所需的頒發者/範圍驗證。因此，郵件系統將使用使用消費者密鑰簽名的安全令牌來接受企業電子郵件的請求（此問題已使用更新的庫得到糾正）。

在政府電子郵件帳戶的黑客事件被發現後，微軟阻止了 MSA 密鑰的使用，並阻止了使用該密鑰發行的令牌。8月，美國政府網絡安全審查委員會（CSRB）宣布將對這一事件進行自行調查。這將是對針對雲計算系統和一般公司的黑客進行全面檢查的一部分。