微软表示,它仍然不知道中国黑客如何窃取不活跃的微软帐户(MSA)消费者签名密钥,该密钥用于破坏包括政府机构在内的二十多个组织的 Exchange Online 和 Azure AD 帐户。
微软在今天发布的一份新公告中承认:“攻击者获取密钥的方法正在持续调查中。”
美国政府官员在发现多个政府机构的 Exchange Online 电子邮件服务遭到未经授权的访问后报告了这一事件。
微软于 6 月 16 日开始调查这些攻击,发现其追踪的一个名为Storm-0558的中国网络间谍组织入侵了大约 25 个组织(据报道包括美国国务院和商务部)的电子邮件帐户。
威胁参与者使用被盗的 Azure AD 企业签名密钥,通过利用 GetAccessTokenForResource API 缺陷伪造新的身份验证令牌,从而使他们能够访问目标的企业邮件。
Storm-0558 可以使用 PowerShell 和 Python 脚本通过针对 OWA Exchange Store 服务的 REST API 调用生成新的访问令牌,以窃取电子邮件和附件。不过,雷德蒙德并未确认他们在上个月的 Exchange Online 数据盗窃攻击中是否使用了这种方法。
微软今天补充道:“我们的遥测和调查表明,泄露后的活动仅限于目标用户的电子邮件访问和泄露。”
该公司于 7 月 3 日阻止所有受影响的客户使用被盗的私人签名密钥,并表示攻击者的令牌重放基础设施在一天后被关闭。
撤销 MSA 签名密钥以阻止 Azure AD 令牌伪造
6 月 27 日,微软还撤销了所有有效的 MSA 签名密钥,以阻止所有生成新访问令牌的尝试,并将新生成的访问令牌移至其企业系统使用的密钥存储中。
微软表示:“自从微软使攻击者获得的 MSA 签名密钥失效以来,没有观察到与密钥相关的攻击者活动。”
然而,虽然雷德蒙德在撤销所有活动的 MSA 签名密钥并减轻 API 缺陷启用后不再检测到任何与密钥相关的 Storm-0558 恶意活动,但今天的通报称,攻击者现在已转向其他技术。
“自从微软使攻击者获得的 MSA 签名密钥失效以来,没有观察到与密钥相关的攻击者活动。此外,我们还看到 Storm-0558 过渡到其他技术,这表明攻击者无法利用或访问任何签名密钥, ”微软说道。
周二,微软还披露,俄罗斯网络犯罪组织 RomCom在最近针对参加立陶宛维尔纽斯北约峰会的组织的网络钓鱼攻击中利用了尚未修补的 Office 零日漏洞。
RomCom 运营商使用冒充乌克兰世界大会的恶意文档来推送和部署恶意软件有效负载,例如 MagicSpell 加载程序和 RomCom 后门。
