微軟提供了有關中國黑客如何訪問政府電子郵件帳戶的更多信息

微軟提供了有關中國黑客如何訪問政府電子郵件帳戶的更多信息

上週,微軟報告稱,一群中國黑客侵入了美國和歐洲的政府電子郵件帳戶。具體來說,黑客組織在 Exchange Online 和 Outlook.com 上輸入了使用 Microsoft Outlook Web Access 的電子郵件帳戶。

後續的博客文章中,微軟提供了更多關於這個名為 Storm-0558 的組織如何使用公司的在線系統訪問這些帳戶的詳細信息。微軟表示:

Storm-0558 獲取了非活動的 MSA 消費者簽名密鑰,並使用它來偽造 Azure AD 企業和 MSA 消費者訪問 OWA 和 Outlook.com 的身份驗證令牌。事件發生前所有處於活動狀態的 MSA 密鑰(包括攻擊者獲取的 MSA 簽名密鑰)均已失效。Azure AD 密鑰不受影響。攻擊者獲取密鑰的方法仍在調查中。儘管該密鑰僅適用於 MSA 帳戶,但驗證問題允許信任該密鑰來簽署 Azure AD 令牌。此問題已得到糾正。

該博客還解釋了黑客組織如何使用此簽名密鑰來訪問網頁版 Outlook:

一旦利用偽造的令牌通過合法客戶端流進行身份驗證,威脅參與者就會訪問 OWA API,從 OWA 使用的 GetAccessTokenForResource API 檢索 Exchange Online 的令牌。由於設計缺陷,攻擊者能夠通過提供之前從此 API 發出的訪問令牌來獲取新的訪問令牌。GetAccessTokenForResourceAPI 中的此缺陷現已修復,僅接受分別從 Azure AD 或 MSA 頒發的令牌。攻擊者使用這些令牌從 OWA API 檢索郵件消息。

作為解決此問題的一部分,Microsoft 對其過程進行了一些更改:

這包括加強系統隔離、精細監控系統活動以及遷移到用於我們企業系統的強化密鑰存儲。我們已經撤銷了所有以前有效的密鑰,並使用這些更新的系統頒發了新密鑰。我們的積極調查表明,這些強化和隔離改進破壞了我們認為攻擊者可能用來獲取 MSA 簽名密鑰的機制。

微軟表示,其 Outlook Web 客戶無需採取任何行動,因為它聲稱“與此事件相關的所有參與者活動都已被阻止。”它補充說,它將“繼續監視 Storm-0558 活動並為我們的客戶實施保護。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *