一系列不幸的連鎖錯(cuò)誤使得一個(gè)黑客組織竊取了微軟電子郵件王國的一把鑰匙，該鑰匙允許幾乎不受限制地訪問美國政府收件箱。微軟本周在一篇期待已久的博客文章中解釋了黑客是如何完成這次搶劫的。然而，雖然一個(gè)謎團(tuán)被解開，但幾個(gè)重要的細(xì)節(jié)仍然未知。
　　回顧一下，微軟在7月份披露稱，被稱為Storm-0558的黑客“獲取”了微軟用來保護(hù)Outlook等消費(fèi)者電子郵件帳戶安全的電子郵件簽名密鑰。黑客使用該數(shù)字萬能鑰匙闖入了微軟托管的政府官員的個(gè)人和平面磨床企業(yè)電子郵件帳戶。這次黑客攻擊被視為有針對性的間諜活動，旨在窺探美國政府官員和外交官的非機(jī)密電子郵件，據(jù)報(bào)道其中包括美國商務(wù)部長吉娜·雷蒙多和美國駐華大使尼古拉斯·伯恩斯。
　　　
　　黑客如何獲得消費(fèi)者電子郵件簽名密鑰一直是個(gè)謎——甚至對微軟來說也是如此——直到本周，這家科技巨頭遲來地列出了導(dǎo)致密鑰最終泄露的五個(gè)獨(dú)立問題。
　　微軟在其博客文章中表示，2021年4月，用作消費(fèi)者密鑰簽名過程一部分的系統(tǒng)崩潰了。崩潰產(chǎn)生了系統(tǒng)的快照圖像以供以后分析。該消費(fèi)者密鑰簽名系統(tǒng)保存在“高度隔離和受限”的環(huán)境中，其中互聯(lián)網(wǎng)訪問被阻止以防御一系列網(wǎng)絡(luò)攻擊。微軟不知道的是，當(dāng)系統(tǒng)崩潰時(shí)，快照映像無意中包含了消費(fèi)者簽名密鑰的副本，但微軟的系統(tǒng)未能檢測到快照中的密鑰。
　　快照圖像“隨后從隔離的生產(chǎn)網(wǎng)絡(luò)轉(zhuǎn)移到連接互聯(lián)網(wǎng)的平面磨床企業(yè)網(wǎng)絡(luò)上的調(diào)試環(huán)境中”，以了解系統(tǒng)崩潰的原因。微軟表示，這與其標(biāo)準(zhǔn)調(diào)試過程一致，但該公司的憑據(jù)掃描方法也沒有檢測到快照圖像中存在密鑰。
　　然后，在快照映像于2021年4月轉(zhuǎn)移到微軟公司網(wǎng)絡(luò)后的某個(gè)時(shí)刻，微軟表示Storm-0558黑客能夠“成功入侵”微軟工程師的公司帳戶，該帳戶可以訪問快照所在的調(diào)試環(huán)境包含消費(fèi)者簽名密鑰的圖像已被存儲。微軟表示，不能完全確定密鑰是如何被盜的，因?yàn)椤拔覀儧]有包含這種泄露的具體證據(jù)的日志”，但表示這是“攻擊者獲取密鑰的最可能的機(jī)制”。
　　至于消費(fèi)者簽名密鑰如何授予對多個(gè)組織和政府部門的平面磨床企業(yè)和企業(yè)電子郵件帳戶的訪問權(quán)限，微軟表示，其電子郵件系統(tǒng)無法自動或正確執(zhí)行密鑰驗(yàn)證，這意味著微軟的電子郵件系統(tǒng)將“接受企業(yè)電子郵件的請求”使用用消費(fèi)者密鑰簽名的安全令牌，”該公司表示。
　　微軟承認(rèn)消費(fèi)者簽名密鑰可能是從其自己的系統(tǒng)中竊取的，這結(jié)束了密鑰可能是從其他地方獲得的理論。
　　但入侵者究竟是如何侵入微軟的，仍然是一個(gè)懸而未決的問題。當(dāng)聯(lián)系到微軟高級總監(jiān)Jeff Jones尋求置評時(shí)，他告訴TechCrunch，該工程師的帳戶已被“令牌竊取惡意軟件”入侵，但拒絕進(jìn)一步置評。
　　令牌竊取惡意軟件可以通過網(wǎng)絡(luò)釣魚或惡意鏈接傳播，在受害者的計(jì)算機(jī)上尋找會話令牌。會話令牌是小文件，允許用戶保持持久登錄狀態(tài)，而無需不斷重新輸入密碼或通過兩因素身份驗(yàn)證重新授權(quán)。因此，被盜的會話令牌可以授予攻擊者與用戶相同的訪問權(quán)限，而無需用戶的密碼或雙因素代碼。
　　這種攻擊方法與去年Uber被名為Lapsus$的青少年黑客組織入侵的方式類似，該組織依靠惡意軟件竊取Uber 員工密碼或會話令牌。軟件公司CircleCi在1月份也遭受了類似的攻擊，因?yàn)樵摴臼褂玫姆啦《拒浖茨軝z測到工程師筆記本電腦上的令牌竊取惡意軟件。在黑客通過受感染的LastPass開發(fā)人員計(jì)算機(jī)闖入該公司的云存儲后，LastPass也發(fā)生了客戶密碼庫的重大數(shù)據(jù)泄露事件。
　　微軟工程師的帳戶如何被泄露是一個(gè)重要的細(xì)節(jié)，可以幫助網(wǎng)絡(luò)防御者防止將來發(fā)生類似事件。目前尚不清楚該工程師的工作計(jì)算機(jī)是否遭到入侵，或者是否是微軟允許在其網(wǎng)絡(luò)上使用的個(gè)人設(shè)備。無論如何，關(guān)注單個(gè)工程師似乎是不公平的，因?yàn)樵斐晌：Φ恼嬲锟準(zhǔn)资俏茨茏柚梗ūM管技術(shù)精湛）入侵者的網(wǎng)絡(luò)安全策略。
　　顯而易見的是，即使對于擁有近乎無限現(xiàn)金和資源的平面磨床企業(yè)巨頭來說，網(wǎng)絡(luò)安全也極其困難。微軟工程師在為公司最敏感和最關(guān)鍵的系統(tǒng)設(shè)計(jì)保護(hù)和防御時(shí)，設(shè)想并考慮了各種最復(fù)雜的威脅和網(wǎng)絡(luò)攻擊，即使這些防御最終失敗了。無論Storm-0558在侵入微軟網(wǎng)絡(luò)時(shí)是否知道自己會找到打開微軟電子郵件王國的鑰匙，或者這純粹是偶然和純粹的時(shí)機(jī)，這都清楚地提醒我們，網(wǎng)絡(luò)犯罪分子通常只需要成功一次。
　　似乎沒有合適的類比來描述這種獨(dú)特的違規(guī)行為或情況。人們既可能對銀行金庫的安全性印象深刻，也可能對盜賊偷竊里面的贓物的努力表示認(rèn)可。
　　間諜活動的全面規(guī)模還需要一段時(shí)間才能明朗，而電子郵件被訪問的其余受害者尚未公開披露。網(wǎng)絡(luò)安全審查委員會是一個(gè)由安全專家組成的機(jī)構(gòu)，負(fù)責(zé)了解從重大網(wǎng)絡(luò)安全事件中吸取的教訓(xùn)，該委員會表示將調(diào)查微軟電子郵件泄露事件，并對“與基于云的身份和身份驗(yàn)證基礎(chǔ)設(shè)施相關(guān)”的問題進(jìn)行更廣泛的審查。