微軟
微軟本周揭露,該公司發現一源自中國的駭客組織Storm-0558自今年5月中開始,利用所獲得的一個微軟帳號(MSA)消費者簽章金鑰來偽造身分認證權杖,以存取使用Outlook Web Access in Exchange Online(OWA)及Outlook.com的電子郵件用戶,估計約影響歐美地區的25個政府組織,以及與這些組織有關的個人。
微軟是在今年6月中旬收到美國聯邦文職行政部門(Federal Civilian Executive Branch,FCEB)的通知之後才展開調查,當時FCEB在該機構所使用的Microsoft 365雲端服務中,有可疑的AppId存取郵件信箱,於是主動通報微軟與美國網路安全暨基礎設施安全局(CISA)。
根據微軟的解釋,MSA(消費者)金鑰及 Azure AD(企業)金鑰是由不同的系統發行與管理,而且應該只在各自的系統上有效,但駭客利用一個權杖驗證問題來假冒Azure AD用戶以存取企業郵件,目前尚無跡象顯示有任何Azure AD金鑰或其它的MSA金鑰遭到駭客利用。
此外,此一MSA金鑰及偽造的權杖也只被用來攻擊OWA與Outlook.com,並未有其它服務受駭。
在查明原因後,微軟改善了MSA金鑰管理系統的安全性,置換了該金鑰,並封鎖了所有以該金鑰簽署的權杖。
Storm-0558的目的在於間諜活動、竊取資料與憑證,與6月初造成Outlook.com當機的事件不同。6月的攻擊是由另一駭客組織Storm-1359所主導,主要發動DDoS攻擊,不僅影響Outlook.com,亦波及了Microsoft Teams、SharePoint Online與OneDrive for Business等微軟服務。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23