摘要
- 本研究报告揭示了两个通过WinGet仓库和微软官方子域名劫持PC Manager发布的潜在攻击场景,根源在于过度宽松的共享访问签名(SAS)令牌配置
- 成功利用可导致攻击者:1) 通过软件供应链分发恶意软件 2) 替换官方软件版本 3) 篡改分发的可执行文件
- 涉及的技术要素包括:Azure存储账户服务SAS令牌、WinGet清单架构、aka.ms短链接服务及数字签名验证机制
- 所有问题已报告微软并修复,文末提供云凭证安全配置建议与威胁狩猎策略
技术分析
ZDI-23-1527: 通过WinGet包劫持PC Manager
-
攻击链分析:
- WinGet清单中的
InstallerUrl包含服务SAS令牌(有效期至2024年3月) - 令牌权限:
rwdl(读/写/删除/列表) - 通过Azure Storage Explorer验证可访问中国区存储账户
distributestorage.blob.core.chinacloudapi.cn - 358GiB容器包含PC Manager多个版本(含20GiB内部版本)
- WinGet清单中的
-
技术影响:
1 2- 攻击时间窗:2022年11月至2023年9月 - 虽SHA256校验可触发告警,但用户可能因信任微软品牌而忽略
ZDI-23-1528: 通过pcmanager.microsoft.com劫持
-
攻击链差异:
- 下载流程:官网→aka.ms短链→全球区存储账户
pcmdistributestorage.blob.core.windows.net - 新SAS令牌同样具有
rwdl权限(有效期至2024年3月) - 118GiB容器包含通过官网分发的所有版本
- 下载流程:官网→aka.ms短链→全球区存储账户
-
升级风险:
1 2- 默认启用自动更新机制可扩大攻击面 - 虽无数字证书,攻击者可滥用ZIP包或泄露证书进行签名伪造
防护方案
检测策略
| 检测场景 | 关键日志字段 | 实施要点 |
|---|---|---|
| 数据外泄 | response-packet-size | 监控异常大流量至可疑IP |
| 过度宽松SAS令牌 | request-url包含sp参数 | 重点识别rw权限组合 |
| 匿名访问 | authentication-type | 过滤成功匿名请求 |
| 敏感文件访问 | requested-object-key | 匹配.env/password等关键词 |
Trend解决方案
|
|
核心建议
-
最小权限原则:
- 将SAS范围限定到单一资源
- 禁用容器级匿名访问
-
生命周期管理:
- 采用存储访问策略(Stored Access Policy)
- 准备密钥轮换应急方案
-
监控体系:
- 启用Azure存储分析日志
- 部署SAS过期策略监控