- この記事は、中国を拠点とする脅威アクター Storm-0558 が、どのようにして Microsoft アカウント (MSA) のコンシューマーキーを取得し、トークンを偽造して OWA と Outlook.com にアクセスしたのかについての Microsoft の技術調査結果を扱っています。
- Microsoft は、従業員のアクセスを制御する高度に安全で隔離された本番環境を維持しており、これには身元調査、専用アカウント、安全なアクセス ワークステーション、ハードウェア トークン デバイスを用いた多要素認証が含まれます。
- 2021 年 4 月にシステムクラッシュが発生し、クラッシュ プロセスのスナップショットが生成されましたが、競合状態により署名キーが含まれていました。この問題はその後修正されました。
- キー マテリアルを含まないと考えられていたクラッシュ ダンプは、標準的なデバッグ プロセスに従って、隔離された本番ネットワークからインターネット接続された企業ネットワークのデバッグ環境へ移動されました。
- Storm-0558 は、キーが含まれたクラッシュ ダンプのあるデバッグ環境にアクセスできる Microsoft エンジニアの企業アカウントを侵害することができました。
- コンシューマーキーは、2018 年 9 月に導入された共通キー メタデータ発行エンドポイントにより企業メールへアクセス可能でした。これは、コンシューマー向けアプリケーションと企業向けアプリケーションの両方で動作するアプリケーションをサポートするためでした。
- メール システムの開発者は、ライブラリが完全な検証を行うと誤って想定し、必要な発行者/スコープ検証を追加しなかったため、メール システムはコンシューマーキーで署名されたセキュリティ トークンを使用した企業メール要求を受け入れていました。この問題は修正されました。
- Microsoft は、多層防御戦略の一環としてシステムの強化を継続しています。今回の発見に特化した改善には、クラッシュ ダンプに署名キーが含まれることを許していた競合状態の解消、クラッシュ ダンプに誤って含まれたキー マテリアルに対する予防・検知・対応の強化、デバッグ環境における署名キーの存在をより適切に検出するための資格情報スキャンの強化、認証ライブラリでキー スコープ検証を自動化する強化版ライブラリの公開が含まれます。
1件のコメント
Hacker Newsの意見