微软缓解中国背景威胁组织Storm-0558针对客户邮件的攻击

更新：微软对微软账户消费者签名密钥的获取方式进行了全面技术调查，包括其如何被用于访问企业电子邮件。我们的技术调查已结束，并于2023年9月6日发布了调查结果。

微软已发布关于Storm-0558活动的威胁分析此处。微软还发布了额外的深度防御安全修复程序，以帮助客户改进其自定义应用程序中的令牌验证。

微软已缓解了一个被追踪为Storm-0558的中国背景威胁组织针对客户邮件的攻击。Storm-0558主要针对西欧的政府机构，专注于间谍活动、数据盗窃和凭证访问。基于客户在2023年6月16日报告的信息，微软开始调查异常邮件活动。在接下来的几周内，我们的调查显示，从2023年5月15日开始，Storm-0558通过使用获取的微软账户（MSA）消费者签名密钥伪造身份验证令牌，访问了影响大约25个组织的公共云电子邮件账户，包括政府机构以及可能与这些组织相关的个人消费者账户。微软已完成对所有客户的此攻击缓解。

我们的遥测数据表明，我们已成功阻止Storm-0558使用伪造的身份验证令牌访问客户邮件。无需客户采取任何行动。与任何观察到的国家行为者活动一样，微软已通过租户管理员直接联系所有目标或受影响的组织，并为他们提供了重要信息以帮助他们调查和响应。我们继续与这些组织密切合作。如果您未被联系，我们的调查表明您未受影响。

微软正与DHS CISA等合作，保护受影响的客户并解决问题。我们继续调查和监控Storm-0558的活动。

详情

微软调查确定，Storm-0558通过伪造身份验证令牌访问Exchange Online中的Outlook Web Access（OWA）和Outlook.com，获取了客户电子邮件账户的访问权限。

该行为者使用获取的MSA密钥伪造令牌以访问OWA和Outlook.com。MSA（消费者）密钥和Azure AD（企业）密钥从单独的系统颁发和管理，应仅对其各自的系统有效。该行为者利用令牌验证问题冒充Azure AD用户并获取企业邮件的访问权限。我们没有迹象表明该行为者使用了Azure AD密钥或任何其他MSA密钥。OWA和Outlook.com是我们观察到该行为者使用获取的MSA密钥伪造令牌的唯一服务。

微软已缓解获取的MSA密钥，我们的遥测数据表明行为者活动已被阻止。我们在调查过程中采取了以下主动步骤：

• 微软阻止了在OWA中使用获取的MSA密钥签名的令牌的使用，防止了进一步的行为者企业邮件活动。
• 微软完成了密钥的更换，以防止行为者使用它伪造令牌。
• 微软阻止了所有受影响消费者客户使用该密钥颁发的令牌。

自获取的MSA密钥颁发以来，我们不断改进MSA密钥管理系统的安全性，作为深度防御的一部分，以确保消费者密钥的安全。

作为我们持续努力改进客户令牌验证安全性的一部分，我们发布了Microsoft.IdentityModel和Microsoft.Identity.Web库的深度防御更改。由于获取的签名密钥已被微软无效，客户没有立即风险。鼓励客户在其下一个安全维护窗口中获取此更新。

我们将根据需要更新此指南的新细节和建议。

修订历史

• 2023-07-11 – 初始发布
• 2023-07-13 – 添加了防御者可以使用的额外威胁情报链接以及客户更新验证库的链接。
• 2023-09-06 - 更新以包括指向Storm-0558密钥获取主要技术调查结果的链接。