信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

微軟的簽名密鑰泄露為云安全乃至“縱深防御”敲響了警鐘，因為黑客在獲取微軟簽名密鑰的過程中，微軟縱深防御的每一層似乎都出現(xiàn)了（不應(yīng)該出現(xiàn)的）錯誤。

微軟今年7月份發(fā)布的安全公告聲稱，一名中國黑客（Storm-0558）早在2021年就獲取了微軟帳戶(MSA)加密密鑰，用來偽造身份驗證令牌，監(jiān)視美國國務(wù)院、商務(wù)部以及其他美國政府機構(gòu)的電子郵件賬戶。但微軟在該公告中并未透露加密密鑰泄露的原因和過程。

本周三，微軟研究中心在官方博客發(fā)布取證調(diào)查報告，披露了黑客如何獲取微軟加密密鑰并成功入侵了微軟工程師的企業(yè)賬號。

微軟在博客中指出，中國黑客（微軟代號為Storm-0558）獲得了對25個美國政府機構(gòu)的Exchange Online和Azure Active Directory（現(xiàn)稱為Microsoft Entra ID）帳戶的“合法”訪問權(quán)限。

一連串錯誤導(dǎo)致簽名密鑰泄露

根據(jù)微軟本周三發(fā)布的博客，2021年4月，微軟消費者簽名系統(tǒng)崩潰產(chǎn)生了崩潰進程快照（故障轉(zhuǎn)儲），通常來說，故障轉(zhuǎn)儲會去除敏感信息，不應(yīng)包含簽名密鑰，但是由于微軟設(shè)定了一個競爭條件（race condition）允許密鑰在某些情況下出現(xiàn)在故障轉(zhuǎn)儲中（該問題已經(jīng)得到糾正），而微軟的系統(tǒng)未檢測到故障轉(zhuǎn)儲中存在機密信息（此問題已糾正），導(dǎo)致MSA密鑰無意中泄漏到微軟保護區(qū)之外的（實施嚴(yán)格訪問控制的）生產(chǎn)環(huán)境。

這個當(dāng)時被微軟認為不包含敏感信息的故障轉(zhuǎn)儲隨后從隔離的生產(chǎn)網(wǎng)絡(luò)轉(zhuǎn)移到微軟與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡(luò)的調(diào)試環(huán)境中。

屋漏偏逢連夜雨，在崩潰轉(zhuǎn)儲被轉(zhuǎn)移到調(diào)試環(huán)境之前和之后，本應(yīng)在故障轉(zhuǎn)儲中檢測此類敏感數(shù)據(jù)的憑證掃描系統(tǒng)也未能檢測到簽名密鑰。（此問題已糾正）

在9月6日發(fā)布的取證分析中，微軟透露，遭入侵的微軟工程師帳戶可能有權(quán)訪問存儲MSA密鑰的調(diào)試環(huán)境（從而提取了密鑰）。但令人遺憾的是，這最關(guān)鍵的取證分析結(jié)論僅僅是微軟的“猜測”。

微軟表示：“由于日志保留政策，我們沒有包含（保留）該攻擊者進行竊取密鑰的具體證據(jù)的日志，但這是攻擊者獲取密鑰的最可能的機制。”

微軟的“萬能鑰匙”

獲取合法加密密鑰后，黑客Storm-0558利用Get Access Token For Resource API中的零日漏洞，偽造簽名的訪問令牌并冒充25個組織的目標(biāo)帳戶。

該API由Microsoft于2018年提供，旨在幫助使用消費者和企業(yè)應(yīng)用程序的客戶系統(tǒng)都能以加密方式驗證簽名。微軟在7月份的公告中確認，該缺陷“已被修復(fù)，目前僅接受分別從Azure AD或MSA發(fā)行的令牌”。

雖然被盜的加密密鑰是針對消費者帳戶的，但“微軟代碼中的驗證錯誤”使黑客還可以為政府機構(gòu)和其他組織的微軟托管帳戶創(chuàng)建虛假令牌，從而訪問這些帳戶。

俄勒岡州的民主黨參議員羅恩·懷登(Ron Wyden)在7月27日的一封公開信中表示，微軟應(yīng)該“為其疏忽的網(wǎng)絡(luò)安全做法負責(zé)”。

他認為，微軟不應(yīng)該擁有“單一萬能鑰匙”，一旦被盜，攻擊者就可以訪問客戶的私人通信。懷登還提出了有關(guān)加密密鑰如何存儲的問題。

此外，還有安全專家對微軟報告的事件影響范圍和嚴(yán)重性提出質(zhì)疑。

微軟聲稱，此次攻擊活動中，黑客Storm-0558“僅能”訪問Exchange Online和Out look。

然而，Wiz研究主管Shir Tamari在7月21日的帖子中指出，黑客或許能夠訪問各種Microsoft服務(wù)，包括“Outlook、SharePoint、OneDrive和Teams，以及客戶的應(yīng)用程序支持微軟賬戶認證。”

給縱深防御敲響警鐘

作為緩解措施的一部分，微軟已經(jīng)撤銷了所有有效的MSA簽名密鑰，以防止黑客訪問其他受損密鑰，并確保沒有其他證據(jù)表明有其他攻擊者使用相同的令牌偽造技術(shù)未經(jīng)授權(quán)訪問客戶帳戶。

微軟還將云日志記錄的訪問權(quán)限擴展至所有用戶，該功能以前是為其高級客戶保留的。這可以幫助網(wǎng)絡(luò)防御者檢測未來類似的攻擊嘗試。

很多網(wǎng)絡(luò)安全業(yè)界人士認為，微軟簽名密鑰泄露事件為云安全乃至“縱深防御”敲響了警鐘，因為黑客在獲取微軟簽名密鑰的過程中，微軟縱深防御的每一層似乎都出現(xiàn)了（不應(yīng)該出現(xiàn)的）錯誤。