网络第5域

微软MSRC发文介绍中国黑客组织如何访问美国与西欧政府电子邮件帐户

字号+作者: 来源:cnBeta.COM 2023-09-07 13:18 评论(创建话题) 收藏成功收藏本文

今年7月,微软披露,一个名为Storm-0558的已知中国黑客组织能够访问美国和西欧的政府电子邮件账户。该公司称,该组织"使用获取的MSA密钥伪造令牌访问OWA和Ou'...

今年7月,微软披露,一个名为Storm-0558的已知中国黑客组织能够访问美国和西欧的政府电子邮件账户。该公司称,该组织"使用获取的MSA密钥伪造令牌访问OWA和Outlook.com"。该公司补充说:"该行为者利用令牌验证问题,冒充AzureAD用户访问企业邮件。MX5品论天涯网

阅读原文:MX5品论天涯网

https://www.neowin.net/news/microsoft-explains-how-a-chinese-hacker-group-was-able-to-access-government-email-accounts/MX5品论天涯网

MX5品论天涯网

微软对MSA(微软账户)密钥的获取方式以及消费者密钥如何访问企业Outlook电子邮件账户展开了调查。本周,该公司在其微软安全响应中心网站上公布了调查结果。MX5品论天涯网

微软表示,两年多前发生的一起事件是导致该组织获得MSA密钥的原因:MX5品论天涯网

我们的调查发现,2021年4月的一次消费者签名系统崩溃导致了崩溃进程的快照("崩溃转储")。崩溃转储是对敏感信息的删减,不应包括签名密钥。在这种情况下,竞赛条件允许密钥出现在崩溃转储中(此问题已得到纠正)。我们的系统没有检测到崩溃转储中存在密钥材料。MX5品论天涯网

微软补充说,崩溃转储数据随后被从"隔离的生产网络转移到我们在连接互联网的公司网络上的调试环境中",这是标准程序。但是,对崩溃转储数据的扫描没有检测到MSA密钥。微软表示,这一点也已得到修复。MX5品论天涯网

该公司认为,Storm-0558是通过入侵微软一名工程师的公司账户,从崩溃转储数据中获取MSA密钥的。目前还没有直接证据表明特定账户被入侵,但微软确实认为"这是该行为者获取密钥的最有可能的机制"。MX5品论天涯网

最后,该公司认为Storm-0558能够复制MSA密钥并将其转化为用于访问企业电子邮件帐户的密钥,是因为在更新API时出现了错误:MX5品论天涯网

作为预先存在的文档库和辅助API的一部分,微软提供了一个API来帮助加密验证签名,但没有更新这些库以自动执行此范围验证(此问题已得到纠正)。邮件系统已于2022年更新为使用通用元数据端点。邮件系统的开发人员错误地认为库执行了完整的验证,而没有添加所需的签发人/范围验证。因此,邮件系统会接受使用消费者密钥签名的安全令牌发送企业电子邮件的请求(这个问题已通过使用更新的库得到纠正)。MX5品论天涯网

政府电子邮件账户黑客事件被发现后,微软阻止了MSA密钥的使用,同时也阻止了使用该密钥签发的令牌。今年8月,美国政府的网络安全审查委员会(CSRB)宣布将对该事件进行调查。这将是对黑客攻击云计算系统和公司的总体调查的一部分。MX5品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]