🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

微软再陷风暴旋涡:MSA密钥失窃谜案

网空闲话 网空闲话plus
2024-08-30
当地时间周五(21日),网络安全公司Wiz发布研究报告称,被窃取的微软私有加密密钥为他们提供的访问权限远远超出了微软所说的受到威胁的Exchange Online 和Outlook.com帐户。Wiz安全研究员Shir Tamari表示,影响范围扩大到使用Microsoft OpenID v2.0运行的所有Azure AD应用程序。这是因为被盗密钥能够为个人帐户(例如Xbox、Skype)和多租户AAD应用程序签署任何OpenID v2.0访问令牌。虽然微软表示只有Exchange Online和Outlook受到影响,但Wiz表示,威胁行为者可以使用受损的Azure AD 私钥来冒充任何受影响的客户或基于云的Microsoft应用程序中的任何帐户。但当媒体Recorded Future News问及Wiz的报告时,微软对此进行了否认,发言人表示,客户应该阅读微软发布的有关该事件的博客,并关注他们提供的妥协指标。Wiz文章中提出的许多说法都是推测性的,没有证据。
被盗的MSA密钥和伪造令牌不止访问微软邮箱
根据Wiz公司7月21日发布的研究,被盗的MSA密钥可能允许威胁行为者伪造“多种类型的Azure Active Directory应用程序的访问令牌,包括支持个人帐户身份验证的每个应用程序,例如SharePoint、Teams、OneDrive、支持‘使用Microsoft登录’功能的客户应用程序以及某些条件下的多租户应用程序”。

Wiz研究人员表示,微软表示Outlook.com和Exchange Online是已知唯一受到令牌伪造技术影响的应用程序,但其研究发现,受损的签名密钥比看起来更强大,并且不仅限于这两项服务。
“这一事件的全面影响比我们最初理解的要大得多。”
研究人员补充说,这一事件将“对我们对云以及支持它的核心组件的信任产生长期持久的影响,最重要的是,身份层是我们在云中所做的一切的基本结构。”
该报告接着研究了消费者签名密钥对微软生态系统的重要性,以及如果这些密钥落入坏人手中可能采取的一系列行动。
黑客“理论上可以使用其获得的私钥来伪造令牌,以任何用户身份对任何信任微软证书的受影响应用程序进行身份验证”。
虽然微软此后撤销了泄露的密钥,但Wiz表示,黑客可能利用他们获得的访问权限在受害者网络中建立持久性。
正如研究人员指出的那样,微软和几个联邦机构仍在调查这一事件,因此很难知道其他组织究竟如何保护自己免受此类攻击。
此次惨败引发了几个悬而未决的问题,包括黑客如何以及何时获得密钥,以及其他密钥是否遭到泄露。
Wiz表示:“现阶段,很难确定事件的全部范围,因为有数百万个应用程序可能存在漏洞,包括微软应用程序和客户应用程序,而且其中大多数缺乏足够的日志来确定它们是否受到损害。”
微软表达了自相矛盾的否认
当被问及该报告时,微软发言人告诉Recorded Future News,客户应该阅读该公司发布的有关该事件的博客,并关注他们提供的妥协指标。
“该博客中提出的许多说法都是推测性的,没有证据,”发言人说
“我们最近还扩展了安全日志记录的可用性,默认情况下向更多客户免费提供该日志记录,以帮助企业管理日益复杂的威胁环境。”
Wiz研究人员对微软的回应表示惊讶,他们告诉Recorded Future News,他们的博客已经过微软安全响应中心团队的“审查和验证”。
“我们在博客上与他们合作,他们帮助确保了技术准确性,”Wiz发言人说。


Wiz帖子最后感谢Microsoft团队“在这个博客上与我们密切合作,帮助我们确保其技术上的准确性。”
整个事件的影响不可低估
Tamari指出:“这一事件的全面影响比我们最初理解的要大得多。” “我们相信这一事件将对我们对云以及支持它的核心组件的信任产生持久的影响,最重要的是,身份层是我们在云中所做的一切的基本结构。我们必须从中学习并改进。”
Keeper Security的Zane Bond指出,虽然技术方面的担忧是有道理的,但更大的担忧是攻击者的知识和资源有多丰富。
“这个威胁行为者知道他们拥有宝贵的访问权限,因此在有限的时间内尽可能地利用它。横向移动到其他服务是最常见的攻击策略之一,”邦德说。
“云是一把双刃剑,这次事件凸显了云的一些优点和缺点。大多数时候,这是一个很大的好处,因为云提供商可以为其客户调查并解决这些类型的入侵。然而,其缺点是,一次违规行为可能会导致多个组织受到损害,而威胁行为者一旦进入,就可以挑选最有价值的目标和数据。”
AD安全公司Semperis的安全研究总监Yossi Rachman指出,风险仍然很高。“这里主要关注的是了解威胁行为者究竟如何能够获得受损的 Azure AD密钥,因为这些类型的违规行为有可能迅速演变成SolarWinds规模的事件。”
风暴中的微软
微软上周五(7月14日)透露,它仍然不知道攻击者是如何窃取Azure AD签名密钥的。然而,在CISA的压力下,他们同意免费扩大对云日志数据的访问 ,以帮助防御者检测未来类似的违规行为。在此之前,这些日志记录功能仅适用于支付Purview Audit (Premium)日志记录许可证费用的Microsoft客户。微软因阻碍组织及时检测攻击而面临相当多的批评。在CISA和公众压力之下,才开放了对云安全日志的访问,并扩大低层M365客户的日志记录默认设置。当客户抱怨他们没有为高级E5/G5许可证付费而无法进行调查时,这件事当时就成了很大的尴尬。

华尔街日报7月20日爆料称,微软事件中的攻击者还获取了美国商务部长吉娜·雷蒙多、美国驻华大使尼古拉斯·伯恩斯和负责东亚事务的助理国务卿丹尼尔·克里滕布林克的电子邮件。此前的微软的调查证实,攻击者使用被盗的Azure AD企业签名密钥伪造身份验证令牌来闯入M365电子邮件收件箱。这次黑客攻击导致大约25个组织的电子邮件被盗。
Wiz公司的最新报告认为,由于缺乏与令牌验证过程相关的关键字段的日志,微软的客户可能很难检测到针对其应用程序使用伪造令牌的情况。有数百万个应用程序可能存在漏洞,包括微软应用程序和客户应用程序,其中大多数缺乏足够的日志来确定它们是否受到损害。这就是说,到目前为止,到底有多少受害者,甚至将来还有更多受害者,这都是个未知数。

参考资源
1、https://therecord.media/microsoft-disputes-report-on-chinese-hacking
2、https://www.securityweek.com/microsoft-cloud-hack-exposed-more-than-exchange-outlook-emails/
3、https://www.darkreading.com/cloud/microsoft-365-breach-risk-widens-millions-of-azure-ad-apps
4、https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr
继续滑动看下一个
网空闲话plus
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存