中国黑客利用私密加密密钥攻击美国政府电子邮件账户

主要内容概要

根据云安全公司Wiz的最新研究，最近披露的中国黑客利用私密加密密钥入侵美国高级政府官员电子邮件账户的事件，实际上还使他们可以访问大量其他微软产品。该事件不仅影响到邮件账户，还涉及了多个使用相同认证过程的微软服务。微软虽然撤销了相关密钥，但由于缺乏有效的日志记录，受害组织可能难以发现是否遭到伪造的令牌攻击。

最近的研究揭示，黑客所获取的微软私密加密密钥，使他们能够访问多种微软服务。微软于7月11日公开了与中国政府有关的威胁行为者通过获取该密钥，伪造认证令牌，因此能够访问超过25个组织（包括多个政府机关）的ExchangeOnline Outlook电子邮件账户。

Wiz的研究负责人ShirTamari在上周五发表的博客中指出，经过进一步调查，发现被盗的密钥让黑客组织Storm-0558能够访问更多的微软服务，超出了Outlook的范围，涵盖了许多其他应用程序。

“我们的研究人员得出结论，受损的MSA密钥可能允许威胁行为者伪造多个类型的应用程序的访问令牌，包括支持个人账户认证的每个应用程序，如SharePoint、Teams、OneDrive，以及支持‘使用微软登录’功能的客户应用程序，并在某些条件下涉及多租户应用程序，”Tamari写道。

Wiz表示，他们在研究过程中与微软密切合作，以确保研究结果的技术准确性。

攻击者可以访问的许多微软应用程序的概述图。
(来源: Wiz)

研究中还指出了另一个问题：尽管微软撤销了密钥并向组织提供了检测指导，但提供的令牌认证过程缺乏日志记录，这可能使客户“难以”检测伪造令牌是否已对其应用程序造成影响。

“遗憾的是，对于应用特定日志记录，没有标准化的实践。因此，在大多数情况下，应用所有者未能获取包含原始访问令牌或其签名密钥的详细日志，”Tamari写道。“因此，识别和调查此类事件对于应用所有者来说可能异常困难。”

被黑客组织盗取的密钥是在现代IT中功能最强大的密钥之一，利用的漏洞并非特有于微软。自2016年4月以来，该密钥已被用于多种微软产品，包括和Azure多租户应用程序，且其公开证书于2021年4月4日过期。

获取该密钥使黑客能够悄无声息地“立即单跳访问到一切，包括任何邮箱、文件服务或云账户”，而无需模仿受害者的服务器。根据Wiz的说法，微软在2023年6月27日至7月5日之间更换了该密钥。

分析显示，Azure ActiveDirectory的密钥访问影响与使用Microsoft的OpenID第2.0版兼容的应用程序。这包括设置为仅支持“个人微软账户”的应用程序，以及“混合受众”和其他个人微软账户的服务，如Skype和Xbox。使用“通用”版本2.0密钥端点的多租户AzureAD应用程序也受到影响，而单租户应用程序并未受到影响。

尽管微软开发了扩展功能，以限制这些类型的密钥获取广泛访问的能力，但却将实施该扩展的责任归到用户身上。

微软虽然撤销了受影响的密钥，但Wiz警告说，一个复杂的APT组织可能利用这种访问和时间来在受害者系统和账户中建立后门或其他形式的持久性。此外，任何依赖本地证书存储或缓存密钥的应用程序仍可能使用受损