风暴-0558攻击：微软面临云安全质疑

近期针对多个微软客户的电子邮件入侵事件（包括美国政府机构）引发了对该公司响应措施的疑问，许多问题仍未得到解答。微软于7月11日披露了一起由中国背景、国家支持的黑客组织风暴-0558（Storm-0558）发起的针对客户邮箱账户的攻击。在最初的两篇博客文章中，这家科技巨头表示，攻击者通过伪造Exchange Online和Outlook.com中Outlook Web Access的身份验证令牌，获得了25个组织（包括美国政府机构）的访问权限。

该活动始于5月15日，持续了一个月，原因是风暴-0558获取了一个微软账户消费者签名密钥，用于伪造Azure Active Directory（AD）企业和MSA用户的身份验证令牌。

在当时发布的公告中，CISA表示，它最初是在一个未命名的联邦民事行政分支（FCEB）机构于6月发现其Microsoft 365环境中的可疑活动时发现了该活动。据透露，该FCEB机构之所以意识到入侵，是因为它仅拥有最高层E5和G5 Azure许可证才可用的日志记录功能，这些许可证也是最昂贵的。

这一细节导致了对微软的批评，该公司随后不久宣布，将在9月为低层Azure客户推出增强的日志记录功能。

微软还因其对威胁活动的响应而面临批评。该供应商在7月14日的更新中表示，它仍在调查风暴-0558如何获取MSA密钥。截至8月初，微软仍未提供更多细节或调查更新。

在本期Risk & Repeat播客中，TechTarget编辑Rob Wright和Alex Culafi讨论了风暴-0558攻击、微软的云透明度等问题。

订阅Risk & Repeat on Apple Podcasts。

Alexander Culafi是一位驻波士顿的作家、记者和播客主持人。