微软公布了一个宣称由“中国国家支持”的高级持续性威胁(APT)行为者(被追踪为Storm-0558)如何获得微软账户(MSA)消费者密钥以伪造令牌,从而访问多个知名客户的OWA和Outlook.com账户的详细信息。
该事件于7月11日星期二首次披露,始于4月份,Storm-0558从5月中旬开始访问多个组织的电子邮件帐户数据,其中包括美国政府机构和部门。又过了一个月,入侵才被发现并处理。
微软表示,“中国黑客”Storm-0558在入侵了一名微软工程师的公司帐户后,从Windows故障转储中窃取了用于入侵政府电子邮件帐户的签名密钥。
攻击者使用窃取的MSA密钥入侵了大约二十多个组织的Exchange Online和Azure Active Directory(AD)帐户,其中包括美国的政府机构,例如美国国务院和商务部。
他们利用了GetAccessTokenForResourceAPI中一个现已修补的零日漏洞验证问题,这使他们能够伪造签名的访问令牌,并冒充目标组织内的帐户。
Windows崩溃转储潜入
在调查Storm-0558的攻击时,微软发现在2021年4月消费者签名系统崩溃后,MSA密钥被泄露到故障转储中。
尽管故障转储不应包含签名密钥,但竞争条件导致添加了密钥。此故障转储后来从公司的隔离生产网络转移到了与互联网连接的企业调试环境中。
威胁行为者在成功入侵一名微软工程师的企业帐户后发现了该密钥,该帐户有权访问包含2021年4月故障转储中错误包含的密钥的调试环境。
微软透露:“由于日志保留政策的原因,我们没有保存该攻击者进行泄露的具体证据的日志,但这是攻击者获取密钥的最可能的机制。”
“我们的凭证扫描方法没有检测到它的存在(这个问题已得到纠正)。”
广泛访问微软云服务
虽然微软在7月份披露该事件时表示,只有Exchange Online和Outlook受到影响,但Wiz安全研究员Shir Tamari后来表示,被泄露的微软消费者签名密钥为Storm-0558提供了对微软云服务的广泛访问权限。
正如Tamari所说,该密钥可用于冒充任何受影响的客户或基于云的微软应用程序中的任何帐户。
Tamari表示:“这包括托管的Microsoft应用程序,例如Outlook、SharePoint、OneDrive和Teams,以及支持Microsoft帐户身份验证的客户应用程序,包括允许‘通过Microsoft登录’功能的应用程序。”
Wiz首席技术官兼联合创始人Ami Luttwak还表示:“微软世界中的一切都利用Azure Active Directory身份验证令牌进行访问。”
“拥有AAD签名密钥的攻击者是你能想象到的最强大的攻击者,因为他们可以以任何用户的身份访问几乎任何应用程序。这是终极网络情报‘变形者’的超级力量。”
Tamari补充道:“旧的公钥证书显示,它于2016年4月5日签发,并于2021年4月4日到期。”
微软后来称,被泄露的密钥只能用来针对那些接受个人账户的应用程序,并被中国黑客利用了验证错误。
为了应对安全漏洞,Microsoft撤销了所有有效的MSA签名密钥,以防止威胁行为者访问其他泄露密钥。此步骤还有效地阻止了生成新访问令牌的任何额外努力。此外,Microsoft将最近生成的访问令牌重新定位到其企业系统使用的密钥存储中。
在撤销被盗的签名密钥后,微软没有发现任何其他证据表明使用相同的身份验证令牌伪造技术未经授权访问客户帐户。
在CISA的压力下,微软还同意免费扩大对云日志数据的访问,以帮助网络防御者检测未来类似的入侵企图。
在此之前,此类日志记录功能仅适用于拥有Purview Audit(Premium)日志记录许可证的客户。结果,微软因阻碍企业及时发现Storm-0558的攻击而遭到了大量批评。