微軟提供了有關中國黑客如何訪問政府電子郵件帳戶的更多信息

上週，微軟報告稱，一群中國黑客侵入了美國和歐洲的政府電子郵件帳戶。具體來說，黑客組織在 Exchange Online 和 Outlook.com 上輸入了使用 Microsoft Outlook Web Access 的電子郵件帳戶。

在後續的博客文章中，微軟提供了更多關於這個名為 Storm-0558 的組織如何使用公司的在線系統訪問這些帳戶的詳細信息。微軟表示：

Storm-0558 獲取了非活動的 MSA 消費者簽名密鑰，並使用它來偽造 Azure AD 企業和 MSA 消費者訪問 OWA 和 Outlook.com 的身份驗證令牌。事件發生前所有處於活動狀態的 MSA 密鑰（包括攻擊者獲取的 MSA 簽名密鑰）均已失效。Azure AD 密鑰不受影響。攻擊者獲取密鑰的方法仍在調查中。儘管該密鑰僅適用於 MSA 帳戶，但驗證問題允許信任該密鑰來簽署 Azure AD 令牌。此問題已得到糾正。

該博客還解釋了黑客組織如何使用此簽名密鑰來訪問網頁版 Outlook：

一旦利用偽造的令牌通過合法客戶端流進行身份驗證，威脅參與者就會訪問 OWA API，從 OWA 使用的 GetAccessTokenForResource API 檢索 Exchange Online 的令牌。由於設計缺陷，攻擊者能夠通過提供之前從此 API 發出的訪問令牌來獲取新的訪問令牌。GetAccessTokenForResourceAPI 中的此缺陷現已修復，僅接受分別從 Azure AD 或 MSA 頒發的令牌。攻擊者使用這些令牌從 OWA API 檢索郵件消息。

作為解決此問題的一部分，Microsoft 對其過程進行了一些更改：

這包括加強系統隔離、精細監控系統活動以及遷移到用於我們企業系統的強化密鑰存儲。我們已經撤銷了所有以前有效的密鑰，並使用這些更新的系統頒發了新密鑰。我們的積極調查表明，這些強化和隔離改進破壞了我們認為攻擊者可能用來獲取 MSA 簽名密鑰的機制。

微軟表示，其 Outlook Web 客戶無需採取任何行動，因為它聲稱“與此事件相關的所有參與者活動都已被阻止。”它補充說，它將“繼續監視 Storm-0558 活動並為我們的客戶實施保護。