事件概述

微软最终披露了导致2023年7月Storm-0558攻击事件的消费者签名密钥被盗细节，但诸多关键问题仍悬而未决。该中国黑客组织通过窃取的密钥伪造Outlook Web Access和Outlook.com的身份验证令牌，入侵了包括美国政府机构在内的25个组织。

技术漏洞分析

根据微软技术调查，2021年4月的一次消费者签名系统崩溃导致进程快照中意外包含了MSA密钥。这一漏洞源于竞争条件问题，微软声称该问题已得到修复。

攻击链条显示：

• Storm-0558在2021年4月后通过入侵微软工程师企业账户获取密钥
• 该工程师账户具有访问包含密钥的调试环境权限
• 崩溃转储文件被错误包含密钥成为攻击突破口

未解之谜

尽管微软宣布技术调查结束，但关键问题仍未解答：

1. 工程师账户具体何时被入侵？
2. Storm-0558最早可能何时获取MSA密钥？
3. 云安全厂商Wiz在9月7日的博客中提出了多个技术性质疑

安全影响

此次事件暴露了企业签名密钥管理、调试环境访问控制和崩溃转储处理等方面的系统性安全缺陷，对云服务供应商的安全架构提出了严峻挑战。