微軟今年夏天早些時候遭到駭客攻擊。經過調查,這家雷德蒙巨頭發現中國駭客成功竊取了通用公共簽名金鑰。這些敏感資料最終在錯誤的時間出現在錯誤的位置...
7月初,微軟透露,它是一個名為「中國駭客」的組織的受害者。風暴-0558。海盜們設法滲透約 25 個政府組織的 Outlook 信箱美國人。在一個月的時間裡,他們能夠查看來自多個機構的所有對話,包括商務部和國務院。歐洲政府機構也受到了損害。
事件發生兩個多月後,微軟在網站上的報告中詳細回顧了攻擊的情況。美國大廠的調查表明盜版的第一階段時間可以追溯到 2021 年 4 月。
微軟發現了駭客攻擊的根源
那個月,“公眾簽名系統的崩潰”,這種機制可以驗證訊息或數位文件的真實性和完整性,從而產生了系統狀態副本然後,這會產生一個“故障轉儲”,該檔案記錄電腦系統遇到致命錯誤時的狀態。不幸的是,這個自動產生的檔案包含 Microsoft 消費者簽署金鑰。
正如該公司解釋的那樣,該文件不應包含敏感資訊。自此事件發生以來,微軟也確保已修復了缺陷。理論上,在作為「故障轉儲」的一部分產生的檔案中不再可以找到簽署金鑰。根據記錄,Storm-0558 駭客能夠利用簽章金鑰來規劃整個操作。駭客利用密鑰產生了“身份驗證令牌”,它向伺服器證明,作為電子郵件的合法持有者,使用者有權存取該電子郵件。然後他們就可以輸入帳戶前景他們的目標。
Storm-0558 如何獲得這個簽章金鑰還有待觀察。微軟調查顯示包含敏感資料的故障轉儲隨後被傳輸“調試環境”到公司網絡,連接到互聯網。
顯然駭客已經控制了微軟工程師的帳戶在文件創建後不久移動該文件。該帳戶在上游遭到洩露,確實可以存取調試環境。從那裡,駭客只需透過網路竊取敏感資料。兩年後,該密鑰被利用。可以假設駭客在挖掘工程師的帳戶時偶然發現了加密金鑰。微軟向微軟保證,所有違規行為均已得到糾正,並指出它沒有攻擊者作案手法的實際證據:
“我們沒有包含該行為者洩露的具體證據的日誌,但這是他獲取密鑰的最有可能的機制”。
無論如何,微軟在攻擊發生後對其安全系統進行了重大改進。該小組特別指出,它改進了分析“用於更好地檢測調試環境中簽名密鑰是否存在的憑證”。同樣,微軟正在盡最大努力防止敏感資料再次出現在中斷期間產生的自動文件中。
來源 : 微軟
