微软安全漏洞使中国黑客获得敏感加密密钥
主要要点
微软的安全漏洞导致中国黑客获取到敏感的加密密钥,用以侵入多名美国政府官员的电子邮件账户。受影响的组织包括美国商务部和国务院,商务部长吉娜雷蒙多的账户在列。微软在调查中发现了几个关键问题,并采取了相应的整改措施。微软在七月披露,由它追踪的高级持续威胁APT组织 Storm0558 利用获取的私有加密密钥,伪造认证令牌,成功侵入了至少二十多个组织的基于云的电子邮件账户,其中特别包括美国商务部。
在一篇九月六日的博文中,微软的安全响应中心对这一安全漏洞的调查结果进行了详细阐述,确认了一系列已被修复的问题。
问题始于2021年四月,当时公司的消费者签名系统发生崩溃,生成的“崩溃转储”中包含了签名密钥。该转储中敏感信息包括密钥应当被遮蔽,但由于出现了意外的竞争条件,导致密钥没有被隐藏,而微软也未能及时察觉到其存在。
微软在博文中表示:“我们发现这一崩溃转储,之前认为不包含密钥材料,随后被移动到了与互联网连接的调试环境中。”
不久之后,Storm0558攻陷了一名可以访问调试环境的微软工程师的企业账户。讽刺的是,在攻击发生后,微软因在某些云安全日志功能上向客户收费而受到批评,导致许多潜在受害者无法知悉是否隐私受到侵犯,同时微软自身也因类似问题而面临有限的可视性。
微软表示:“由于日志保留政策,我们没有具体证据表明该行为者的获取方式,但这可能是该行为者获取密钥的最可能机制。”
不过,调查中发现的另一个问题使得这一安全漏洞后果更加严重:一个错误的验证流程允许被黑的企业电子邮件账户以受损的消费者密钥进行签名。
微软在调查后采取了四项纠正措施。公司表示,它修复了导致密钥出现在崩溃转储中的竞争条件,加强了对崩溃转储中出现的密钥的检测和响应措施,改善了对调试环境中密钥存在的检测方法,并更新了库,以便自动执行作用域验证,确保企业账户无法以消费者密钥进行验证。
安全研究员、微软前员工凯文博蒙特在Mastodon上对公司的报告进行了评价,认为其在技术层面上“非常好且诚实”。他还指出,安全公司Wiz所发现的内容微软的消费者密钥在2021年四月已经过期。“他们也没有检查有效日期客户可能想问问他们是否解决了这个问题,”博蒙特在帖子中提到。
微软在七月公布这一漏洞后,面临了强烈的批评,包括俄勒冈州的参议员罗恩怀登Ron Wyden的指责,认为该公司在加密方法被攻破的事件中表现出过失。
旋风加速下载官网上个月,国土安全部的网络安全审查委员会CSRB宣布将审查此事件,并将关注政府、行业及云服务提供商在云中加强身份管理和认证的更广泛问题。
