一系列不幸的连锁错误使得一个黑客组织窃取了微软电子邮件王国的一把钥匙,该钥匙允许几乎不受限制地访问美国政府收件箱。微软本周在一篇期待已久的博客文章中解释了黑客是如何完成这次抢劫的。然而,虽然一个谜团被解开,但几个重要的细节仍然未知。
回顾一下,微软在7月份披露称,被称为Storm-0558的黑客“获取”了微软用来保护Outlook等消费者电子邮件帐户安全的电子邮件签名密钥。黑客使用该数字万能钥匙闯入了微软托管的政府官员的个人和平面磨床企业电子邮件帐户。这次黑客攻击被视为有针对性的间谍活动,旨在窥探美国政府官员和外交官的非机密电子邮件,据报道其中包括美国商务部长吉娜·雷蒙多和美国驻华大使尼古拉斯·伯恩斯。
黑客如何获得消费者电子邮件签名密钥一直是个谜——甚至对微软来说也是如此——直到本周,这家科技巨头迟来地列出了导致密钥最终泄露的五个独立问题。
微软在其博客文章中表示,2021年4月,用作消费者密钥签名过程一部分的系统崩溃了。崩溃产生了系统的快照图像以供以后分析。该消费者密钥签名系统保存在“高度隔离和受限”的环境中,其中互联网访问被阻止以防御一系列网络攻击。微软不知道的是,当系统崩溃时,快照映像无意中包含了消费者签名密钥的副本,但微软的系统未能检测到快照中的密钥。
快照图像“随后从隔离的生产网络转移到连接互联网的
平面磨床企业网络上的调试环境中”,以了解系统崩溃的原因。微软表示,这与其标准调试过程一致,但该公司的凭据扫描方法也没有检测到快照图像中存在密钥。
然后,在快照映像于2021年4月转移到微软公司网络后的某个时刻,微软表示Storm-0558黑客能够“成功入侵”微软工程师的公司帐户,该帐户可以访问快照所在的调试环境包含消费者签名密钥的图像已被存储。微软表示,不能完全确定密钥是如何被盗的,因为“我们没有包含这种泄露的具体证据的日志”,但表示这是“攻击者获取密钥的最可能的机制”。
至于消费者签名密钥如何授予对多个组织和政府部门的
平面磨床企业和企业电子邮件帐户的访问权限,微软表示,其电子邮件系统无法自动或正确执行密钥验证,这意味着微软的电子邮件系统将“接受企业电子邮件的请求”使用用消费者密钥签名的安全令牌,”该公司表示。
微软承认消费者签名密钥可能是从其自己的系统中窃取的,这结束了密钥可能是从其他地方获得的理论。
但入侵者究竟是如何侵入微软的,仍然是一个悬而未决的问题。当联系到微软高级总监Jeff Jones寻求置评时,他告诉TechCrunch,该工程师的帐户已被“令牌窃取恶意软件”入侵,但拒绝进一步置评。
令牌窃取恶意软件可以通过网络钓鱼或恶意链接传播,在受害者的计算机上寻找会话令牌。会话令牌是小文件,允许用户保持持久登录状态,而无需不断重新输入密码或通过两因素身份验证重新授权。因此,被盗的会话令牌可以授予攻击者与用户相同的访问权限,而无需用户的密码或双因素代码。
这种攻击方法与去年Uber被名为Lapsus$的青少年黑客组织入侵的方式类似,该组织依靠恶意软件窃取Uber 员工密码或会话令牌。软件公司CircleCi在1月份也遭受了类似的攻击,因为该公司使用的防病毒软件未能检测到工程师笔记本电脑上的令牌窃取恶意软件。在黑客通过受感染的LastPass开发人员计算机闯入该公司的云存储后,LastPass也发生了客户密码库的重大数据泄露事件。
微软工程师的帐户如何被泄露是一个重要的细节,可以帮助网络防御者防止将来发生类似事件。目前尚不清楚该工程师的工作计算机是否遭到入侵,或者是否是微软允许在其网络上使用的个人设备。无论如何,关注单个工程师似乎是不公平的,因为造成危害的真正罪魁祸首是未能阻止(尽管技术精湛)入侵者的网络安全策略。
显而易见的是,即使对于拥有近乎无限现金和资源的
平面磨床企业巨头来说,网络安全也极其困难。微软工程师在为公司最敏感和最关键的系统设计保护和防御时,设想并考虑了各种最复杂的威胁和网络攻击,即使这些防御最终失败了。无论Storm-0558在侵入微软网络时是否知道自己会找到打开微软电子邮件王国的钥匙,或者这纯粹是偶然和纯粹的时机,这都清楚地提醒我们,网络犯罪分子通常只需要成功一次。
似乎没有合适的类比来描述这种独特的违规行为或情况。人们既可能对银行金库的安全性印象深刻,也可能对盗贼偷窃里面的赃物的努力表示认可。
间谍活动的全面规模还需要一段时间才能明朗,而电子邮件被访问的其余受害者尚未公开披露。网络安全审查委员会是一个由安全专家组成的机构,负责了解从重大网络安全事件中吸取的教训,该委员会表示将调查微软电子邮件泄露事件,并对“与基于云的身份和身份验证基础设施相关”的问题进行更广泛的审查。