今年7 月，微軟披露，一個名為Storm-0558 的已知中國黑客組織能夠訪問美國和西歐的政府電子郵件賬戶。該公司稱，該組織”使用獲取的MSA 密鑰偽造令牌訪問OWA 和Outlook.com”。該公司補充說：”該行為者利用令牌驗證問題，冒充Azure AD 用戶訪問企業郵件。

閱讀原文：https://www.neowin.net/news/microsoft-explains-how-a-chinese-hacker-group-was-able-to-access-government-email-accounts/微軟對MSA（微軟賬戶）密鑰的獲取方式以及消費者密鑰如何訪問企業Outlook 電子郵件賬戶展開了調查。本週，該公司在其微軟安全響應中心網站上公佈了調查結果。

微軟表示，兩年多前發生的一起事件是導致該組織獲得MSA 密鑰的原因：我們的調查發現，2021 年4 月的一次消費者簽名系統崩潰導致了崩潰進程的快照（”崩潰轉儲”）。崩潰轉儲是對敏感信息的刪減，不應包括簽名密鑰。在這種情況下，競賽條件允許密鑰出現在崩潰轉儲中（此問題已得到糾正）。我們的系統沒有檢測到崩潰轉儲中存在密鑰材料。微軟補充說，崩潰轉儲數據隨後被從”隔離的生產網絡轉移到我們在連接互聯網的公司網絡上的調試環境中”，這是標準程序。但是，對崩潰轉儲數據的掃描沒有檢測到MSA 密鑰。微軟表示，這一點也已得到修復。該公司認為，Storm-0558 是通過入侵微軟一名工程師的公司賬戶，從崩潰轉儲數據中獲取MSA 密鑰的。目前還沒有直接證據表明特定賬戶被入侵，但微軟確實認為”這是該行為者獲取密鑰的最有可能的機制”。最後，該公司認為Storm-0558 能夠複製MSA 密鑰並將其轉化為用於訪問企業電子郵件帳戶的密鑰，是因為在更新API 時出現了錯誤：作為預先存在的文檔庫和輔助API 的一部分，微軟提供了一個API 來幫助加密驗證簽名，但沒有更新這些庫以自動執行此範圍驗證（此問題已得到糾正）。郵件系統已於2022 年更新為使用通用元數據端點。郵件系統的開發人員錯誤地認為庫執行了完整的驗證，而沒有添加所需的簽發人/範圍驗證。因此，郵件系統會接受使用消費者密鑰簽名的安全令牌發送企業電子郵件的請求（這個問題已通過使用更新的庫得到糾正）。政府電子郵件賬戶黑客事件被發現後，微軟阻止了MSA 密鑰的使用，同時也阻止了使用該密鑰簽發的令牌。今年8 月，美國政府的網絡安全審查委員會（CSRB）宣布將對該事件進行調查。這將是對黑客攻擊雲計算系統和公司的總體調查的一部分。