Photo by M Rezaie on Unsplash

今年7月初，微軟發現有一中國駭客組織Storm-0558利用所獲得的一個微軟帳號（MSA）消費者簽章金鑰來偽造身分認證權杖，以存取使用Outlook Web Access in Exchange Online（OWA）及Outlook.com的電子郵件用戶，殃及歐美地區的25個組織，當時微軟並不確定該消費者簽章是如何外洩的，近日微軟在完成調查之後，指出起因為系統當機報告中不當地出現了簽章資訊。

根據微軟的說明，此一簽章金鑰遭到駭客濫用的過程，是由一連串的臭蟲與漏洞造成的。

最早的錯誤可能發生在2021年的4月，當時有個消費者簽章系統當掉了，產生了一個當掉過程的簡要情況檔案（Crash Dump），該檔案理論上會刪減機密資訊，卻因一個條件競爭臭蟲，而讓簽章金鑰出現在Crash Dump中，接著微軟的系統並未偵測到此一Crash Dump中含有機密資訊。

隨後該Crash Dump即從隔離的生產網路中被移轉到連結微軟企業網路的除錯環境，這是微軟的標準除錯程序，但依舊沒偵測到當中含有簽章金鑰。

當駭客取得了一名微軟工程師的企業帳號之後，即以該帳號進入了除錯環境，並取得該消費者簽章金鑰。由於時間太久，日誌並未保留駭客取得金鑰的證據，但以上是微軟認為最有可能的途徑。

由於MSA（消費者）金鑰及 Azure AD（企業）金鑰是由不同的系統發行與管理，而且應該只在各自的系統上有效，因此，以消費者簽章金鑰來偽造身分認證權杖，並存取企業服務原本應是不可行的。

不過，為了滿足客戶的應用程式可能需要同時支援消費者及企業，微軟在2018年的9月推出了一個可集中管理金鑰資訊的系統，闡明金鑰應用範圍的驗證需求，例如哪些金鑰適用於企業帳號，哪些又適用於消費者帳號，微軟還提供了一個API來協助驗證簽章，卻並未自動更新相關的函式庫來執行範圍驗證。

另一方面，微軟的電子郵件系統則於2022年開始採用該金鑰集中管理系統，開發人員誤以為相關的函式庫可執行完整的驗證，而未添增必要的發行者或範圍驗證，進而使得郵件系統接受了以消費者簽章所簽署的身分認證權杖。

微軟已經修補了上述的所有臭蟲與漏洞，並強化相關的安全機制，儘管Storm-0558的目標是滲透受駭組織的電子郵件並進行間諜行動，但先前已有研究人員警告，該外洩的MSA金鑰不僅可用來存取Outlook，也可存取諸如SharePoint、Teams與OneDrive等其它微軟服務，且就算微軟已撤銷該金鑰，駭客也有可能已於受駭系統上植入惡意程式。