魯珀·戈德堡錯誤導致微軟主機政府郵件侵犯安全漏洞
背景
在七月上旬,微軟披露了中國的駭客組織 Storm-0558 入侵了大約 25 個組織的郵件,其中包括美國政府機構。如今微軟正在解釋這一事件的原因,並強調在逐步數位不安全的世界中,維護龐大增長的軟體基礎架構是一項極其嚴肅的責任。 微軟的調查摘要顯示,Storm-0558 透過獲取一個“Microsoft 帳戶消費者金鑰”來獲得企業和政府郵件,這使他們能夠建立存取目標帳戶的存取令牌。Storm-0558 之所以取得了這個金鑰,是因為一連串魯珀·戈德堡式的事件將金鑰放置在本不應有的地方。當系統對崩潰的程式進行了偵錯快照時,它應該剝離所謂的“崩潰 dump”中的所有敏感訊息,但它未做到,導致金鑰留在其中。微軟的系統本應該檢測到崩潰 dump 中的“金鑰材料”,但顯然未能做到。所以,當公司的工程師發現這個 dump 時,他們認為它不含敏感資料,並將其連同金鑰一起,從“隔離的生產網路”轉移到了公司的偵錯環境。 當 Storm-0558 設法入侵微軟工程師的企業帳戶時,最後一個防護措施失效了,使駭客能夠進入本來不應該具有這個金鑰的偵錯環境。微軟表示它沒有記錄顯示這就是駭客取得金鑰的途徑,但認為這是最有可能的路線。更令人意外的是,這是一個消費者金鑰,但它卻讓攻擊者能夠進入企業微軟帳戶。微軟表示 2018 年開始,它開始使用通用金鑰後設資料釋出,以響應對可適用於消費者和企業帳戶的支援軟體的需求。微軟公司增加了支援,但未能對用於取證金鑰的系統進行適當的更新,即判定它們是消費者金鑰還是企業金鑰。郵件系統的工程師們誤以為這些更新已經完成,因此沒有增加進一步的身份取證,這就使得郵件系統無法識別使用的是何種型別的金鑰。 總之如果這些庫得到了正確的更新,即使有其他的失敗點,駭客 Storm-0558 也可能無法存取他們所鎖定的企業郵件帳戶。微軟表示他們已經修正了以上所有問題,包括首次將簽名金鑰傳送到崩潰 dump 中的錯誤。公司在帖子中補充說,他們正在“持續加固系統”。專家評論
這次微軟主機政府郵件侵犯事件暴露了維護龐大軟體基礎架構的巨大挑戰和風險。數位化時代的到來為駭客提供了更多利用漏洞的機會,而軟體公司在面對不斷增長的安全威脅時,必須努力確保系統的安全性。 然而這次事件也暴露了微軟自身的安全實踐存在嚴重問題。儘管微軟聲稱已經修正了這些問題,但政府機構和企業組織對於微軟的安全性仍然持懷疑態度。微軟的安全漏洞使得駭客得以進一步侵入敏感訊息,這不僅對個人隱私構成威脅,也對國家安全和企業保密帶來重大風險。建議與評論總結
鑒於微軟在安全實踐方面的失誤,政府機構和企業組織應該重新評估它們對於軟體供應商的依賴和合作。他們應該要求軟體供應商加固安全措施,確保他們的系統和資料能夠得到適當的保護。 同時軟體公司也應該自省並改進他們的安全實踐。他們應該加固內部監控和審查機制,確保及時發現和解決安全漏洞。此外他們應該對員工進行更加嚴格和全面的安全培訓,提高他們對安全風險的認識和應對能力。 最後個人和組織也應該提高自己的數位安全意識,使用強大的密碼和多重身份取證等措施來保護個人和組織的資料。在這個數位化時代,我們每個人都應該承擔起保護自己和他人的資料安全的責任。 (本文為虛構新聞報導)Cybersecurity-魯珀·戈德堡錯誤、微軟主機、政府郵件、侵犯、安全漏洞
