微软终于解释Azure漏洞原因:工程师账户被黑

微软终于解释了Azure缺陷的原因:工程师的帐户被黑客入侵”/>展开 盖蒂图片社 </figure><p>微软表示,其一名工程师的公司帐户遭到一名技术精湛的恶意攻击者的黑客攻击,该攻击者获取了签名密钥,用于入侵高级用户拥有的数十个 Azure 和 Exchange 帐户。</p > 这一披露解决了微软 7 月份披露的两个核心谜团。该公司表示,被识别为 Storm-0558 的黑客已经在其公司网络中存在一个多月了,并访问了 Azure 和 Exchange 帐户,其中几个帐户后来被确定属于美国国务院和商务部的 IT 部门。 Storm-0558 通过获取过期的 Microsoft 帐户签名密钥并使用它为 Microsoft 据称强化的 Azure AD 云服务伪造令牌来实现这一壮举。 <p>此次披露没有回答两个最重要的问题。具体来说,像消费者签名密钥一样敏感的标识符是如何从 Microsoft 网络中被盗的,以及它如何能够为依赖于完全不同的基础设施的 Azure 签名令牌? </p> <p>周三,微软终于解决了这个难题。其一名工程师的专业帐户遭到黑客攻击。 Storm-0558 随后利用该访问权限窃取了密钥。微软表示,此类密钥仅发放给通过背景调查的员工,并且仅当他们使用受使用硬件令牌设备的多因素身份验证保护的专用工作站时发放。为了保护这个专用环境,不允许使用电子邮件、会议、网络搜索和其他协作工具,因为它们是成功的恶意软件和网络钓鱼攻击的最常见载体。此外,此环境与 Microsoft 网络的其他部分分开,工作人员可以在其中访问电子邮件和其他类型的工具。</p> <p>这些保护措施于 2021 年 4 月遭到破坏,比 Storm-0558 进入 Microsoft 网络早了两年多。当专用生产环境中的工作站崩溃时,Windows 会执行标准的“崩溃转储”,其中存储在内存中的所有数据都会写入磁盘,以便工程师稍后可以诊断原因。故障转储后来被转移到 Microsoft 的调试环境。 Storm-0558 入侵 Microsoft 工程师的公司帐户后可以访问故障转储以及过期的 Exchange 签名密钥。</p> <p>通常,故障转储会删除签名密钥和类似的敏感数据。然而,在这种情况下,一个先前未知的漏洞(称为“竞争条件”)阻止了该机制正常工作。</p> <p>Microsoft 安全响应中心的成员写道:</p> <p>我们的调查显示,2021 年 4 月消费者签名系统崩溃导致了被阻止进程的快照(“崩溃转储”)。故障转储会删除敏感信息,不应包含签名密钥。在这种情况下,竞争条件允许密钥出现在故障转储中(此问题已修复)。我们的系统未检测到故障转储中关键项目的存在(此问题已修复)。</p> <p>我们发现这个崩溃转储(当时应该不包含任何密钥材料)后来从隔离的生产网络转移到连接到互联网的公司网络上的调试环境。这与我们的标准调试流程是一致的。我们的凭证扫描方法没有检测到它的存在(此问题已修复)。</p> <p>2021 年 4 月之后,当密钥在故障转储中泄露到企业环境时,Storm-0558 攻击者成功入侵了一名 Microsoft 工程师的企业帐户。此帐户有权访问包含故障转储的调试环境,该故障转储错误地包含了密钥。由于日志保留策略的原因,我们没有包含该攻击者泄露的具体证据的日志,但这是攻击者获取密钥的最有可能的机制。</p> <p>为了回答第二个谜团,本文解释了如何使用消费者帐户的过期签名密钥来伪造敏感企业优惠的令牌。 2018 年,微软推出了适用于消费者和企业云应用程序的新框架。唔...</h2></div> <div class=   技术   Sep 7, 2023   0   18  Add to Reading List

微软终于解释Azure漏洞原因:工程师账户被黑
微软终于解释了Azure缺陷的原因:工程师的帐户被黑客入侵”/>展开 盖蒂图片社 </figure><p>微软表示,其一名工程师的公司帐户遭到一名技术精湛的恶意攻击者的黑客攻击,该攻击者获取了签名密钥,用于入侵高级用户拥有的数十个 Azure 和 Exchange 帐户。</p > 这一披露解决了微软 7 月份披露的两个核心谜团。该公司表示,被识别为 Storm-0558 的黑客已经在其公司网络中存在一个多月了,并访问了 Azure 和 Exchange 帐户,其中几个帐户后来被确定属于美国国务院和商务部的 IT 部门。 Storm-0558 通过获取过期的 Microsoft 帐户签名密钥并使用它为 Microsoft 据称强化的 Azure AD 云服务伪造令牌来实现这一壮举。 <p>此次披露没有回答两个最重要的问题。具体来说,像消费者签名密钥一样敏感的标识符是如何从 Microsoft 网络中被盗的,以及它如何能够为依赖于完全不同的基础设施的 Azure 签名令牌? </p> <p>周三,微软终于解决了这个难题。其一名工程师的专业帐户遭到黑客攻击。 Storm-0558 随后利用该访问权限窃取了密钥。微软表示,此类密钥仅发放给通过背景调查的员工,并且仅当他们使用受使用硬件令牌设备的多因素身份验证保护的专用工作站时发放。为了保护这个专用环境,不允许使用电子邮件、会议、网络搜索和其他协作工具,因为它们是成功的恶意软件和网络钓鱼攻击的最常见载体。此外,此环境与 Microsoft 网络的其他部分分开,工作人员可以在其中访问电子邮件和其他类型的工具。</p> <p>这些保护措施于 2021 年 4 月遭到破坏,比 Storm-0558 进入 Microsoft 网络早了两年多。当专用生产环境中的工作站崩溃时,Windows 会执行标准的“崩溃转储”,其中存储在内存中的所有数据都会写入磁盘,以便工程师稍后可以诊断原因。故障转储后来被转移到 Microsoft 的调试环境。 Storm-0558 入侵 Microsoft 工程师的公司帐户后可以访问故障转储以及过期的 Exchange 签名密钥。</p> <p>通常,故障转储会删除签名密钥和类似的敏感数据。然而,在这种情况下,一个先前未知的漏洞(称为“竞争条件”)阻止了该机制正常工作。</p> <p>Microsoft 安全响应中心的成员写道:</p> <p>我们的调查显示,2021 年 4 月消费者签名系统崩溃导致了被阻止进程的快照(“崩溃转储”)。故障转储会删除敏感信息,不应包含签名密钥。在这种情况下,竞争条件允许密钥出现在故障转储中(此问题已修复)。我们的系统未检测到故障转储中关键项目的存在(此问题已修复)。</p> <p>我们发现这个崩溃转储(当时应该不包含任何密钥材料)后来从隔离的生产网络转移到连接到互联网的公司网络上的调试环境。这与我们的标准调试流程是一致的。我们的凭证扫描方法没有检测到它的存在(此问题已修复)。</p> <p>2021 年 4 月之后,当密钥在故障转储中泄露到企业环境时,Storm-0558 攻击者成功入侵了一名 Microsoft 工程师的企业帐户。此帐户有权访问包含故障转储的调试环境,该故障转储错误地包含了密钥。由于日志保留策略的原因,我们没有包含该攻击者泄露的具体证据的日志,但这是攻击者获取密钥的最有可能的机制。</p> <p>为了回答第二个谜团,本文解释了如何使用消费者帐户的过期签名密钥来伪造敏感企业优惠的令牌。 2018 年,微软推出了适用于消费者和企业云应用程序的新框架。唔... </div> <div class=

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow