【超能力解鎖】Microsoft簽名金鑰外洩 中國黑客可隨意入侵企業帳戶
早前 Microsoft 承認被中國黑客集團 Storm-0558 盜取的消費者簽名金鑰(Consumer signing key)一事, 有安全研究人員指出,原來不單可讓黑客入侵 Exchange Online 及 Outlook.com 帳戶,更影響到所有使用 Microsoft OpenID v2.0 驗證的應用服務,猶如擁有超能力的入侵者一樣。
中國黑客組織濫用零日漏洞 受影響範圍成羅生門
Microsoft 在本月 12 日披露,中國黑客組織 Storm-0558 以不明方法濫用現已修補的GetAccessTokenForResourceAPI 零日漏洞,入侵約 25 個採用了 Exchange Online 和 Azure Active Directory(AD)服務的企業及組織,偽造訪問 token 並成功以假冒帳戶訪問內部數據,受影響的有美國和西歐地區的政府機構,其中包括美國國務院和商務部。
雖然 Microsoft 表示只有上述客戶受影響,但 Wiz 安全研究員 Shir Tamari 明顯不同意這個說法,他指出由於被盜的消費者簽名金鑰可用於簽署任何以 Microsoft OpenID v2.0 運行的 Azure AD 應用服務,因此應包括如 Outlook、SharePoint、OneDrive 和 Teams。Wiz 創辦人更指出具有 AAD 簽名金鑰的攻擊者幾乎可以任何用家身分訪問 Microsoft 的應用服務,因此可說是擁有超能力的攻擊者。
Microsoft 方面則提出反駁,說只有設定了容許個人帳戶訪問的客戶才受影響,而為了應對這安全漏洞,Microsoft 已取消了所有有效的 MSA 簽名密鑰,阻止被黑客繼續利用,並將新生成的訪問 token 移至公司企業系統的密鑰儲存庫。此外,官方的報告亦指出,他們觀察到 Storm-0558 已不再擁有任何簽名密鑰。
美聯邦民事行政部揭發事件
現階段,Microsoft 仍然不知道黑客如何盜取 Microsoft 消費者簽名密鑰,僅回應指現時數百萬應用服務都有可能存在漏洞,特別是很多客戶都未能掌握足夠的數據進行分析。
而根據美國 CISA 發表的報告,發現今次入侵事件的原來是美國聯邦民事行政部門。原文指在今年 6 月,其員工在審計日誌內發現了一條異常的 AppId 和 ClientAppId 執行 MailItemAccessed 的活動,從而揭發連 Microsoft 也無法發現的入侵事件。過往 Microsoft 只允許訂閱 Purview Audit(Premium)日誌許可證的客戶可讀取日誌,但在這次事件下便被指妨礙了其他客戶及時檢測 Storm-0558 攻擊,在 CISA 的壓力下,官方答允日後免費擴大雲記錄數據的訪問權限,以幫助企業客戶提升數據透明度及檢測力。
資料來源:https://www.bleepingcomputer.com/news/security/stolen-microsoft-key-offered-widespread-access-to-microsoft-cloud-services 及 https://www.cybersecuritydive.com/news/microsoft-attackers-data-beyond-outlook/688675
相關文章:【DDoS攻擊續集】Microsoft否認3000萬客戶資料外洩