Storm-0558密钥获取重大技术调查结果揭秘

微软详细披露了中国黑客组织Storm-0558通过获取MSA消费者密钥伪造令牌访问企业邮件的技术细节,包括密钥泄露的根本原因、验证机制缺陷及事后加固措施,为企业安全防护提供重要参考。

Storm-0558密钥获取重大技术调查结果

2024年3月12日更新
作为微软安全未来倡议中持续透明承诺的一部分,我们提供了与持续调查相关的最新信息。这些新信息并未改变先前分享的客户指导,我们的持续调查也未发现对微软或客户的额外影响。无需客户采取额外行动。

2023年7月11日,微软发布了针对威胁行为者组织Storm-0558(一个源自中国的威胁行为者)活动的初步调查结果。2023年9月6日,我们宣布主要技术调查已完成。然而,我们继续研究该威胁行为者的策略和技术,以帮助确保客户免受类似攻击。今天我们提供此附录,以根据最新知识澄清并确保内容的准确性。

首先,未改变的内容:

  • 我们的主要假设仍然是操作错误导致密钥材料离开安全令牌签名环境,随后通过受损的工程账户在调试环境中被访问。
  • 对客户或微软的影响或行为者活动没有变化。当前信息仍可在我们的微软安全博客中找到。

以下是我们根据2023年9月6日以来所学更新的关键项目:

  • 下面的博客指出行为者访问可能源于2021年的崩溃转储,但我们未找到包含受影响密钥材料的崩溃转储。
  • 下面博客中提到的竞争条件并不影响密钥是否存在于崩溃转储中,而是影响崩溃转储是否可以从安全令牌签名环境中移除。
  • 我们表示将崩溃转储材料移出安全签名环境符合标准调试过程——我们意在表明这在过去并未被禁止,因此可能发生。微软现在的标准调试过程禁止将此类材料从生产环境中移除。
  • 我们的持续调查揭示了凭证扫描技术的局限性,我们将在发现时加以解决。
  • 我们的调查仍在进行中,如果与客户或行业相关,我们将继续提供更新,以帮助保护他人免受类似攻击。

2023年7月11日,微软发布了一篇博客文章,详细说明了源自中国的威胁行为者Storm-0558如何使用获取的微软账户(MSA)消费者密钥伪造令牌以访问OWA和Outlook.com。在识别到威胁行为者获取了消费者密钥后,微软对微软账户消费者签名密钥的获取进行了全面技术调查,包括其如何用于访问企业电子邮件。我们的技术调查已结束。作为我们对透明和信任承诺的一部分,我们发布调查结果。

密钥获取

微软维护一个高度隔离和受限的生产环境。微软员工访问生产基础设施的控制包括背景调查、专用账户、安全访问工作站和使用硬件令牌设备的多因素认证。此环境中的控制还防止使用电子邮件、会议、网络研究和其他协作工具,这些工具可能导致常见的账户泄露向量,如恶意软件感染或网络钓鱼,并通过即时和足够访问策略限制对系统和数据的访问。

我们的企业环境也需要安全认证和安全设备,但允许电子邮件、会议、网络研究和其它协作工具。虽然这些工具很重要,但它们也使用户容易受到鱼叉式网络钓鱼、令牌窃取恶意软件和其他账户泄露向量的攻击。因此,根据政策和作为我们零信任和“假设已泄露”思维模式的一部分,密钥材料不应离开我们的生产环境。

我们的调查发现,2021年4月消费者签名系统崩溃导致了对崩溃进程的快照(“崩溃转储”)。崩溃转储应编辑敏感信息,不应包括签名密钥。在这种情况下,竞争条件允许密钥存在于崩溃转储中(此问题已纠正)。我们的系统未检测到崩溃转储中密钥材料的存在(此问题已纠正)。

我们发现,这个当时被认为不包含密钥材料的崩溃转储随后从隔离的生产网络移动到互联网连接的企业网络上的调试环境中。这符合我们的标准调试过程。我们的凭证扫描方法未检测到其存在(此问题已纠正)。

2021年4月之后,当密钥在崩溃转储中泄露到企业环境时,Storm-0558行为者能够成功入侵微软工程师的企业账户。该账户有权访问包含错误包含密钥的崩溃转储的调试环境。由于日志保留策略,我们没有此行为者外泄的具体证据日志,但这是行为者获取密钥的最可能机制。

为什么消费者密钥能够访问企业邮件

为了满足客户对支持同时适用于消费者和企业应用程序的应用的需求,微软于2018年9月引入了通用的密钥元数据发布端点。作为此融合产品的一部分,微软更新了文档以澄清密钥范围验证的要求——哪些密钥用于企业账户,哪些用于消费者账户。

作为现有文档和辅助API库的一部分,微软提供了一个API以帮助加密验证签名,但未更新这些库以自动执行此范围验证(此问题已纠正)。邮件系统于2022年更新为使用通用元数据端点。邮件系统的开发人员错误地假设库执行了完整验证,并未添加所需的颁发者/范围验证。因此,邮件系统会接受使用消费者密钥签名的安全令牌对企业电子邮件的请求(此问题已通过更新库纠正)。

事后审查

微软作为深度防御策略的一部分,不断强化系统。与MSA密钥管理相关的投资已在https://aka.ms/storm-0558 博客中涵盖。此博客中详述的项目是这些整体投资的子集。为清晰起见,我们在此总结与这些发现相关的改进:

  • 识别并解决了允许签名密钥存在于崩溃转储中的竞争条件
  • 增强了对错误包含在崩溃转储中的密钥材料的预防、检测和响应
  • 增强了凭证扫描以更好地检测调试环境中签名密钥的存在
  • 发布了增强库以在认证库中自动化密钥范围验证,并澄清了相关文档
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次