【超能力解鎖】Microsoft簽名金鑰外洩　中國黑客可隨意入侵企業帳戶

早前 Microsoft 承認被中國黑客集團 Storm-0558 盜取的消費者簽名金鑰（Consumer signing key）一事， 有安全研究人員指出，原來不單可讓黑客入侵 Exchange Online 及 Outlook.com 帳戶，更影響到所有使用 Microsoft OpenID v2.0 驗證的應用服務，猶如擁有超能力的入侵者一樣。

中國黑客組織濫用零日漏洞　受影響範圍成羅生門

Microsoft 在本月 12 日披露，中國黑客組織 Storm-0558 以不明方法濫用現已修補的GetAccessTokenForResourceAPI 零日漏洞，入侵約 25 個採用了 Exchange Online 和 Azure Active Directory（AD）服務的企業及組織，偽造訪問 token 並成功以假冒帳戶訪問內部數據，受影響的有美國和西歐地區的政府機構，其中包括美國國務院和商務部。

雖然 Microsoft 表示只有上述客戶受影響，但 Wiz 安全研究員 Shir Tamari 明顯不同意這個說法，他指出由於被盜的消費者簽名金鑰可用於簽署任何以 Microsoft OpenID v2.0 運行的 Azure AD 應用服務，因此應包括如 Outlook、SharePoint、OneDrive 和 Teams。Wiz 創辦人更指出具有 AAD 簽名金鑰的攻擊者幾乎可以任何用家身分訪問 Microsoft 的應用服務，因此可說是擁有超能力的攻擊者。

Microsoft 方面則提出反駁，說只有設定了容許個人帳戶訪問的客戶才受影響，而為了應對這安全漏洞，Microsoft 已取消了所有有效的 MSA 簽名密鑰，阻止被黑客繼續利用，並將新生成的訪問 token 移至公司企業系統的密鑰儲存庫。此外，官方的報告亦指出，他們觀察到 Storm-0558 已不再擁有任何簽名密鑰。

美聯邦民事行政部揭發事件

現階段，Microsoft 仍然不知道黑客如何盜取 Microsoft 消費者簽名密鑰，僅回應指現時數百萬應用服務都有可能存在漏洞，特別是很多客戶都未能掌握足夠的數據進行分析。

而根據美國 CISA 發表的報告，發現今次入侵事件的原來是美國聯邦民事行政部門。原文指在今年 6 月，其員工在審計日誌內發現了一條異常的 AppId 和 ClientAppId 執行 MailItemAccessed 的活動，從而揭發連 Microsoft 也無法發現的入侵事件。過往 Microsoft 只允許訂閱 Purview Audit（Premium）日誌許可證的客戶可讀取日誌，但在這次事件下便被指妨礙了其他客戶及時檢測 Storm-0558 攻擊，在 CISA 的壓力下，官方答允日後免費擴大雲記錄數據的訪問權限，以幫助企業客戶提升數據透明度及檢測力。

資料來源：https://www.bleepingcomputer.com/news/security/stolen-microsoft-key-offered-widespread-access-to-microsoft-cloud-services 及 https://www.cybersecuritydive.com/news/microsoft-attackers-data-beyond-outlook/688675

相關文章：【DDoS攻擊續集】Microsoft否認3000萬客戶資料外洩