微软应对中国背景威胁组织Storm-0558窃取客户邮件的技术细节

微软披露了针对中国背景威胁组织Storm-0558的技术调查,该组织通过获取微软账户签名密钥伪造身份验证令牌,入侵政府机构电子邮件账户。微软已采取缓解措施并发布安全更新。

微软应对中国背景威胁组织Storm-0558窃取客户邮件的技术细节

更新:微软对微软账户消费者签名密钥的获取方式进行了全面技术调查,包括其如何用于访问企业电子邮件。我们的技术调查已结束,并于2023年9月6日发布了调查结果。

微软已发布关于Storm-0558活动的威胁分析此处。微软还发布了额外的深度防御安全修复程序,以帮助客户改进其自定义应用程序中的令牌验证。

微软已缓解了一个由中国背景威胁组织(微软跟踪为Storm-0558)发起的攻击,该攻击针对客户电子邮件。Storm-0558主要针对西欧的政府机构,专注于间谍活动、数据窃取和凭证访问。基于客户于2023年6月16日报告的信息,微软开始调查异常邮件活动。在接下来的几周内,我们的调查显示,从2023年5月15日开始,Storm-0558通过使用获取的微软账户(MSA)消费者签名密钥伪造身份验证令牌,访问用户电子邮件,从而获得了影响大约25个公共云组织(包括政府机构)以及可能与这些组织相关的个人消费者账户的电子邮件账户的访问权限。微软已完成对所有客户的此攻击缓解。

我们的遥测数据表明,我们已成功阻止Storm-0558使用伪造的身份验证令牌访问客户电子邮件。无需客户采取任何行动。与任何观察到的国家行为者活动一样,微软已通过租户管理员直接联系所有目标或受损害的组织,并为他们提供了重要信息以帮助他们调查和响应。我们继续与这些组织密切合作。如果您未被联系,我们的调查表明您未受到影响。

微软正与DHS CISA等合作,保护受影响客户并解决此问题。我们继续调查和监控Storm-0558的活动。

详情

微软调查确定,Storm-0558通过伪造身份验证令牌访问用户电子邮件,从而获得了客户电子邮件账户的访问权限,使用的是Exchange Online中的Outlook Web Access(OWA)和Outlook.com。

攻击者使用获取的MSA密钥伪造令牌以访问OWA和Outlook.com。MSA(消费者)密钥和Azure AD(企业)密钥是从单独系统颁发和管理的,应仅对其各自系统有效。攻击者利用令牌验证问题冒充Azure AD用户并获得对企业邮件的访问权限。我们没有任何迹象表明此攻击者使用了Azure AD密钥或任何其他MSA密钥。OWA和Outlook.com是我们观察到攻击者使用获取的MSA密钥伪造令牌的唯一服务。

微软已缓解获取的MSA密钥,我们的遥测数据表明攻击者活动已被阻止。我们在调查过程中采取了以下主动步骤:

  • 微软阻止了在OWA中使用获取的MSA密钥签名的令牌的使用,防止了进一步的威胁参与者企业邮件活动。
  • 微软完成了密钥的更换,以防止威胁参与者使用它伪造令牌。
  • 微软阻止了所有受影响消费者客户使用该密钥颁发的令牌。

自获取的MSA密钥颁发以来,我们不断改进MSA密钥管理系统的安全性,作为深度防御的一部分,以确保消费者密钥的安全。

作为我们持续努力改进客户令牌验证安全性的一部分,我们发布了Microsoft.IdentityModel和Microsoft.Identity.Web库的深度防御更改。由于获取的签名密钥已被微软无效,客户没有立即风险。鼓励客户在其下一个安全维护窗口中获取此更新。

我们将根据需要更新此指南的新细节和建议。

修订历史

  • 2023-07-11 – 初始发布
  • 2023-07-13 – 添加了防御者可以使用的额外威胁情报链接以及客户更新验证库的链接。
  • 2023-09-06 - 更新以包括指向Storm-0558密钥获取主要技术调查结果的链接。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次