2024年3月12日更新
作为微软"安全未来计划"透明度承诺的一部分,我们持续更新调查进展。最新发现不影响先前发布的客户指南,也无需客户采取额外措施。
事件背景
2023年7月11日,微软披露中国黑客组织Storm-0558使用窃取的微软账户(MSA)消费者密钥伪造访问令牌入侵OWA和Outlook.com。经过全面技术调查,现公布关键发现:
密钥泄露路径
-
崩溃转储漏洞
- 2021年4月消费者签名系统崩溃时,因竞态条件导致密钥意外保留在崩溃转储文件中(该漏洞已修复)
- 标准调试流程将不含敏感数据的转储文件从隔离环境转移至联网调试环境
- 现有凭证扫描技术未能检测转储中的密钥材料(检测机制已升级)
-
工程师账户入侵
- Storm-0558通过入侵微软工程师账户访问含密钥的调试环境
- 受日志保留策略限制,具体泄露证据未被记录
企业邮箱访问漏洞成因
-
密钥元数据端点统一化
2018年为支持跨消费者/企业应用场景,微软引入通用密钥元数据发布端点,但文档未明确区分密钥使用范围验证要求。 -
验证缺失
邮件系统(2022年起使用通用端点)误信库函数会执行完整验证,未实现必要的颁发者和范围检查,导致接受消费者密钥签名的企业访问令牌(该逻辑缺陷已修复)。
安全加固措施
- 修复崩溃转储中的密钥残留漏洞
- 增强调试环境密钥检测能力
- 发布自动执行密钥范围验证的认证库更新
- 明确密钥使用范围的文档规范
微软持续通过多层面防御策略强化系统安全,最新技术细节可参考风暴-0558专项页面。调查仍在进行,我们将及时披露可能影响行业的新发现。
