Photo by M Rezaie on Unsplash

今年7月初,微軟發現有一中國駭客組織Storm-0558利用所獲得的一個微軟帳號(MSA)消費者簽章金鑰來偽造身分認證權杖,以存取使用Outlook Web Access in Exchange Online(OWA)及Outlook.com的電子郵件用戶,殃及歐美地區的25個組織,當時微軟並不確定該消費者簽章是如何外洩的,近日微軟在完成調查之後,指出起因為系統當機報告中不當地出現了簽章資訊

根據微軟的說明,此一簽章金鑰遭到駭客濫用的過程,是由一連串的臭蟲與漏洞造成的。

最早的錯誤可能發生在2021年的4月,當時有個消費者簽章系統當掉了,產生了一個當掉過程的簡要情況檔案(Crash Dump),該檔案理論上會刪減機密資訊,卻因一個條件競爭臭蟲,而讓簽章金鑰出現在Crash Dump中,接著微軟的系統並未偵測到此一Crash Dump中含有機密資訊。

隨後該Crash Dump即從隔離的生產網路中被移轉到連結微軟企業網路的除錯環境,這是微軟的標準除錯程序,但依舊沒偵測到當中含有簽章金鑰。

當駭客取得了一名微軟工程師的企業帳號之後,即以該帳號進入了除錯環境,並取得該消費者簽章金鑰。由於時間太久,日誌並未保留駭客取得金鑰的證據,但以上是微軟認為最有可能的途徑。

由於MSA(消費者)金鑰及 Azure AD(企業)金鑰是由不同的系統發行與管理,而且應該只在各自的系統上有效,因此,以消費者簽章金鑰來偽造身分認證權杖,並存取企業服務原本應是不可行的。

不過,為了滿足客戶的應用程式可能需要同時支援消費者及企業,微軟在2018年的9月推出了一個可集中管理金鑰資訊的系統,闡明金鑰應用範圍的驗證需求,例如哪些金鑰適用於企業帳號,哪些又適用於消費者帳號,微軟還提供了一個API來協助驗證簽章,卻並未自動更新相關的函式庫來執行範圍驗證。

另一方面,微軟的電子郵件系統則於2022年開始採用該金鑰集中管理系統,開發人員誤以為相關的函式庫可執行完整的驗證,而未添增必要的發行者或範圍驗證,進而使得郵件系統接受了以消費者簽章所簽署的身分認證權杖。

微軟已經修補了上述的所有臭蟲與漏洞,並強化相關的安全機制,儘管Storm-0558的目標是滲透受駭組織的電子郵件並進行間諜行動,但先前已有研究人員警告,該外洩的MSA金鑰不僅可用來存取Outlook,也可存取諸如SharePoint、Teams與OneDrive等其它微軟服務,且就算微軟已撤銷該金鑰,駭客也有可能已於受駭系統上植入惡意程式。

熱門新聞

Advertisement