Outlook 黑客攻击：微软揭示故障转储如何导致重大安全漏洞

微软周三透露，一个名为Storm-0558的中国威胁行为者获取了不活跃的消费者签名密钥，通过入侵一名工程师的公司帐户来伪造令牌并访问 Outlook。

这使得攻击者能够访问包含与消费者签名系统崩溃相关的信息的调试环境并窃取密钥。系统崩溃发生在2021年4月。

微软安全响应中心 (MSRC) 在事后分析报告中表示：“2021 年 4 月的一次消费者签名系统崩溃导致了崩溃进程的快照（‘崩溃转储’）。”

“对敏感信息进行编辑的故障转储不应包含签名密钥。在这种情况下，竞争条件允许密钥出现在故障转储中。我们的系统未检测到故障转储中存在密钥材料。 ”

这家 Windows 制造商表示，故障转储已转移到与互联网连接的公司网络上的调试环境中，Storm-0558 疑似在渗透到工程师的公司帐户后从该环境中获取了密钥。

然而，微软在 2023 年 7 月指出，“该威胁行为者至少自 2021 年 8 月起就对 OAuth 应用程序、令牌盗窃和针对 Microsoft 帐户的令牌重放表现出了兴趣”，这可能表明该活动可能已经进行了近两年。

也就是说，最新的发展提供了对一系列级联安全事故的洞察，这些事故最终导致签名密钥最终落入具有“高度技术手段和操作安全性”的熟练演员手中。

Storm-0558 是 Microsoft 为一个黑客组织指定的绰号，该组织与使用消费者签名密钥并未经授权访问 Outlook Web Access (OWA) 和 Outlook.com 的大约 25 个组织的违规行为有关。

零日问题归咎于验证错误，该错误允许信任密钥来签署 Azure AD 令牌。有证据表明，恶意网络活动早在一个月前就开始了，并于 2023 年 6 月被发现。
反过来，这是可能的，因为“邮件系统将使用使用消费者密钥签名的安全令牌来接受企业电子邮件的请求”。此后，微软已纠正该“问题”。

云安全公司 Wiz 随后在 7 月份透露，受损的微软消费者签名密钥可能导致对其他云服务的广泛访问。

然而，微软表示，它没有发现任何其他证据表明未经授权访问电子邮件收件箱之外的应用程序。在批评该功能仅限于拥有 Purview Audit (Premium) 许可证的客户后，该公司还扩大了对安全日志记录的访问范围，从而限制了其他人的取证数据。