微軟揭示駭客如何竊取郵件簽章金鑰……類似中國支援的駭客竊取數位鑰匙以進入美國政府郵箱
背景
由於一系列不幸且連鎖型的錯誤,一個由中國支援的駭客組織取得了微軟的郵件核心金鑰,使得他們獲得了接近無約束的存取美國政府郵箱。在一篇期待已久的部落格文章中,微軟解釋了駭客如何實施這次竊盜。儘管其中一個謎團已經揭曉,但仍有一些重要細節不明。回顧一下,微軟在七月份披露,一個名為 Storm-0558 的駭客組織,據認為受到中國支援,“獲得了”微軟用於保護消費者郵件帳戶(例如 Outlook.com)的郵件簽章金鑰。駭客使用這把數位鑰匙來闖入微軟託管的政府官員的個人和企業郵件帳戶。這次駭客入侵被視為一場針對美國政府官員和外交官未標密郵件的有目的間諜活動,據報包括美國商務部長傑娜·賴蒙多和美國駐中國大使尼古拉斯·伯恩斯。微軟的解釋
駭客如何獲得這把消費者郵件簽章金鑰一直是個謎,甚至對微軟來說也一樣,直到本週微軟才遲遲公布了導致鑰匙泄露的五個不同問題。微軟在其部落格文章中表示 2021 年 4 月,用於消費者金鑰簽署的系統發生了崩潰。該崩潰產生了該系統的快照映像,供以後進行分析。這個消費者金鑰簽署系統被保留在一個“高度隔離和約束”的環境中,其中阻塞了對網路的存取,以防範各種網路攻擊。微軟毫不知情,當系統崩潰時,快照映像不慎包括了消費者簽章金鑰的副本;此外微軟系統並未檢測到該金鑰的存在。該快照映像“隨後從隔離生產網路轉移到了我們存取到網際網路的公司網路的偵錯環境”,以理解系統崩潰的原因。微軟表示這與他們的標準偵錯過程一致,但該公司的憑證掃描方法也未能檢測到快照映像中金鑰的存在。然後,在快照映像於 2021 年 4 月轉移到微軟的公司網路之後,微軟表示 Storm-0558 駭客“成功入侵”了一位微軟工程師的公司帳戶,該帳戶可以存取儲存有包含消費者簽章金鑰的快照映像的偵錯環境。微軟表示他們無法完全肯定這是金鑰被竊的方式,因為“我們沒有包含具體證據的日誌”,但他們稱這是“行動者取得金鑰的最有可能機制”。至於消費者簽章金鑰是如何授予多個組織和政府部門的企業和公司郵件帳戶的存取許可權,微軟表示他們的郵件系統並未自動或正確執行金鑰取證,這意味著微軟的郵件系統將“接受使用使用消費者金鑰簽署的安全令牌的企業郵件請求”,公司表示。駭客技術
微軟承認消費者簽章金鑰可能是從自家系統竊取的,結束了這把金鑰可能是從其他地方獲得的說法。但駭客究竟是如何入侵微軟的,仍然是一個未解之謎。當 TechCrunch 存取微軟高級總監傑夫·瓊斯時,他表示駭客使用了“竊取令牌的惡意軟體”來入侵工程師的帳戶,但拒絕進一步評論。竊取令牌的惡意軟體通常透過釣魚郵件或惡意連結傳遞,該軟體在受害者的計算機上尋找會話令牌。會話令牌是一種允許使用者持續登入而無需經常重新輸入密碼或重新授權雙因素身份取證的小檔案。因此竊取的會話令牌可以讓攻擊者在無需使用者密碼或雙因素取證碼的情況下獲得與使用者相同的存取許可權。這與去年 Uber 遭到 Lapsus$這個年輕駭客團隊使用惡意軟體竊取員工密碼或會話令牌的方式進行駭客攻擊類似。軟體公司 CircleCi 在今年一月也遭到了類似的入侵,原因是該公司使用的防病毒軟體未能檢測到工程師膝上型電腦上的竊取令牌惡意軟體。LastPass 公司也在一次重大資料遭到竊取後遭到盯上,駭客是透過竊取了一位 LastPass 開發人員的計算機而成功入侵該公司的雲端儲存。安全和責任
工程師帳戶是如何被入侵的這一重要細節,可以幫助網路防禦者在未來防範類似事件。當前尚不清楚工程師使用的是工作裝置還是微軟允許存取到其網路的個人裝置。無論如何,單獨追究一位工程師的責任似乎是不公平的,因為真正的罪魁禍首是網路安全政策,他們未能阻止(雖然技術上很高超的)入侵者。顯然,網路安全是非常困難的,即使對於具有無限現金和資源的大型企業巨頭也是如此。微軟工程師在設計對公司最敏感和關鍵系統的保護和防禦措施時,已經考慮到了許多最複雜的威脅和網路攻擊,儘管這些防禦最終失敗了。無論是 Storm-0558 駭客在入侵微軟時完全知道他們能夠找到微軟的郵箱之鑰,還是僅僅是巧合和時機,這都是一個鮮明的提醒:網路罪犯往往只需要成功一次。當前尚不清楚有多少人成為這場間諜活動的受害者,他們的郵件被存取情況尚未公開。負責瞭解主要網路安全事件的安全專家組成的網路安全審查委員會表示將調查微軟的郵件入侵事件,並對與基於雲的身份和身份取證基礎設施有關的問題進行更廣泛的審查。結論
微軟的郵件入侵事件揭示了現代網路安全的艱難性。這次入侵充分展示了即使對於技術強大、具有無窮財富和資源的企業巨頭來說保護私人和敏感資料也存在極高的風險。駭客不斷尋找安全漏洞和破壞設施,企圖入侵並竊取重要訊息。這提醒我們,應該將網路安全視為一個重大的議題,無論是在政府還是私營領域。除了企業自身的防禦措施外,政府應制定更嚴格的規定和監管,以確保資料和敏感訊息的安全。此外對於一般使用者來說他們應該意識到自己的資料安全責任,使用強密碼、雙因素身份取證和適當的防火牆保護自己的電子郵件和線上帳戶。網路安全是所有人共同的責任,只有透過集體努力,我們才能建立一個更安全的數位世界。Cybersecurity-微軟,駭客,竊取,郵件簽章金鑰
延伸閱讀
- 微軟成功閃過英國反壟斷調查:Mistral AI 投資引發話題
- 歐盟警告微軟 或因未提供 GenAI 風險訊息而可能被處以數十億歐元的罰款
- 微軟將於下週在 Azure 上推出定製的鈷晶片
- 微軟將於七月推出手機遊戲商店
- 微軟和 OpenAI 啟動 200 萬美元基金以對抗選舉假影片
- 微軟禁止美國警方使用企業 AI 工具進行臉部辨識
- 微軟選擇與 Sanctuary AI 合作進行通用機器人研究
- Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
- 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司,保護蘋果裝置
- 英國調查亞馬遜和微軟與 Mistral、Anthropic 和 Inflection 的 AI 合作關係
