Microsoft 公司透露,一個中國的威脅行為者成功入侵了西方各組織的超過二十個 Microsoft 電子郵件帳戶。該公司在其網站上發佈的一份公告中詳細解釋了事件的細節,指出在今年六月中旬,該公司接到客戶的提醒後發現追蹤為 Storm-0558 的威脅行為者正在針對西歐政府機構進行攻擊。
進一步調查發現,Storm-0558 在今年五月中旬開始其攻擊行動,成功入侵了約 25 個組織的電子郵件帳戶,其中包括政府機構。
攻擊使用了偽造的驗證令牌,該令牌允許威脅行為者使用獲得的 Microsoft 帳戶消費者簽名金鑰來訪問電子郵件。 Microsoft 公司表示:“經過調查,我們確定 Storm-0558 使用 Outlook Web Access in Exchange Online (OWA) 和 Outlook.com 偽造驗證令牌來訪問用戶電子郵件。” 他們進一步解釋道:“該行為者使用獲得的 MSA 金鑰來偽造令牌,以訪問 OWA 和 Outlook.com。
MSA(消費者)金鑰和 Azure AD(企業)金鑰是從不同的系統發行和管理的,並且應僅對其各自的系統有效。該行為者利用令牌驗證問題冒充 Azure AD 用戶,並獲得對企業郵件的訪問權限。我們沒有跡象表明該行為者使用了 Azure AD 金鑰或任何其他 MSA 金鑰。我們觀察到該行為者僅在使用獲得的 MSA 金鑰偽造的令牌上使用 OWA 和 Outlook.com 服務。”
Microsoft 的後續活動遙測顯示,該攻擊已成功緩解,Storm-0558 不再能夠訪問這些帳戶。然而,該公司並未討論攻擊者入侵期間造成的損害。 Microsoft 確認該組織通常專注於間諜活動、數據竊取和憑證訪問,針對的對象主要是西歐實體。
Microsoft 補充說,受到潛在影響的客戶無需採取任何措施以保持安全,因為更新是由該公司進行的。該軟件巨頭表示已直接聯繫受到攻擊的公司,並向他們提供了必要的緩解和應對訊息。 Microsoft 總結道:“如果您未收到聯繫,我們的調查表明您未受到影響。”
