吳明宜中國駭客竊取微軟帳號簽入金鑰,入侵組織的Exchange Online及Azure AD,包括美國政府單位。微軟調查發現駭客組織Storm-0558利用API漏洞竊取郵件和附件。微軟已註銷金鑰並關閉攻擊者伺服器,但攻擊者可能轉換手法。
上周微軟表示,中國駭客竊取消費者的微軟帳號 (MSA) 簽入金鑰,以駭入將近 30 家組織的 Exchange Online 及 Azure AD 以竊取用戶信件,受害者包括美國政府單位。
美國政府單位發現多個單位的 Exchange Online 電子郵件服務遭不法存取而發現,並通報此事。微軟於 6 月中開始調查,發現一個中國駭客間諜組織名為 Storm- 0558 駭入了大約 25 個組織的電子郵件系統。
根據調查,駭客藉由 GetAccessTokenForResource API 漏洞取得 Azure AD 企業簽入金鑰,再經由對 OWA Exchange Store service 發送 REST API 呼叫,產生新的假驗證令牌。 Storm-0558 可以利用 PowerShell 及 Python script 產生新的存取令牌,進而登入郵件服務,完成他們竊取電子郵件和附件的目的。至於如何經由 API 漏洞取得 Azure AD 金鑰,微軟還在釐清。
微軟說,根據遙感資料和調查,攻擊活動主要是存取特定用戶的電子郵件和外傳其檔案。
微軟已經在 7 月 3 日註銷這些失竊的 Aure AD MSA 驗證金鑰,且在隔明關閉了攻擊者憑證運作的伺服器。
不過,雖然註銷 MSA 金鑰後,研究人員未再觀察到 Storm-0558 的惡意活動,但他們相信攻擊者可能已經轉換攻擊手法。