微软应对中国黑客组织Storm-0558的邮件攻击技术分析

微软缓解针对客户邮件的中国黑客组织Storm-0558攻击

日本安全团队 / 2023年7月11日 / 9分钟阅读

本文是《Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email》的编译版本。最新信息请参考原文。

更新：微软已发布Storm-0558活动的威胁分析报告。此外，为增强自定义应用程序的令牌验证，发布了详细的安全修复方案。

微软成功缓解了被追踪为中国黑客组织Storm-0558针对客户电子邮件账户的攻击活动。该组织主要针对西欧政府机构，专注于间谍活动、数据窃取和凭据访问。基于2023年6月16日客户报告，微软启动异常邮件活动调查。经数周分析，确认自2023年5月15日起，Storm-0558访问了约25个组织（包括政府机构）在公有云上的电子邮件账户及相关消费者账户。

攻击技术核心在于：Storm-0558利用窃取的微软账户（MSA）消费者签名密钥伪造身份验证令牌，从而非法访问用户邮箱。微软已完成所有客户的缓解措施部署。

根据遥测数据，微软已阻断Storm-0558使用伪造令牌访问客户邮件的行为，客户无需额外操作。与既往国家级攻击处理流程一致，微软通过租户管理员直接联系所有受影响组织，提供关键调查信息。未收到通知的客户确未受本次攻击影响。

微软正与美国国土安全部CISA等机构协作保护客户，持续监控Storm-0558活动。

技术细节

调查显示，Storm-0558通过伪造Exchange Online的OWA（Outlook Web Access）和Outlook.com身份验证令牌访问用户邮箱。攻击者使用窃取的MSA密钥伪造令牌访问OWA和Outlook.com。正常情况下，MSA（消费者）密钥与Azure AD（企业）密钥应在独立系统中发行管理且仅限本系统使用。但攻击者利用令牌验证漏洞冒充Azure AD用户访问组织邮件。

关键确认：

• 无证据表明Azure AD密钥或其他MSA密钥被滥用
• 确认遭滥用的服务仅限OWA和Outlook.com
• 微软已撤销涉事MSA密钥并确认攻击活动被阻断

微软应对措施：

1. 阻断OWA中对MSA密钥签名令牌的使用
2. 完成密钥轮换防止密钥滥用
3. 为受影响消费者客户阻断该密钥签发的所有令牌

作为纵深防御策略的一部分，微软持续优化MSA密钥管理系统安全性。同时发布Microsoft.IdentityModel和Microsoft.Identity.Web库的防御性更新以增强令牌验证。由于签名密钥已失效，客户无紧急风险，建议在下次安全维护时部署更新。

微软将持续更新技术指导与建议。

更新记录

• 2023-07-11 - 初始发布
• 2023-07-13 - 增加威胁分析报告链接及更新验证库链接