微软内网遭撞库攻击：高管邮件数据被盗，法务/安全部门也被访问

前情回顾·身份攻击屡屡得手

• Okta被黑溯源：系统设计曝重大漏洞，机器账号未做安全防护

• Okta 2022年为何被黑？研究发现4大高危害漏洞｜身份攻击溯源

• （Okta系统被黑导致）凯撒娱乐支付了超过1亿元勒索软件赎金

• 网络巨头思科遭数据勒索：VPN访问权限被窃取，2.8GB数据泄露

安全内参1月22日消息，美国微软公司在上周五（1月19日）晚间宣布，俄罗斯政府支持的黑客组织利用弱密码侵入公司网络，访问了高管及安全、法务团队成员的电子邮件和文件。

微软官方披露：攻击者在内网漫游近两月

微软表示，这次攻击系由俄罗斯支持的黑客组织“午夜暴雪”（Midnight Blizzard）发起。这是多年以来至少第二次，微软因不遵守基本网络卫生而导致可能伤害客户的漏洞。微软于上周五向美国证交会（SEC）提交披露文件，其中一段格外引人注目：

“从2023年11月下旬开始，威胁行为者通过密码喷洒攻击侵入一个遗留的非生产测试租户帐号，获得了立足点。此后，他们利用该帐号的权限访问了微软公司的少数电子邮件帐号，包括高级领导团队成员及网络安全、法务和其他职能团队员工，并窃取了一些电子邮件及附件。调查表明，他们最初尝试的电子邮件帐号目标是为了获取‘午夜暴雪’自身相关的信息。我们正在逐一通知邮件被访问的员工。”

直到1月12日，也就是上周五提交披露文件一周前，微软才察觉到这次入侵。这意味着俄罗斯黑客可以在长达两个月的时间里持续访问相关帐号。

综上所述，微软网络内某台设备使用了弱密码，没有启用双因素认证。俄罗斯黑客组织通过不断尝试先前已暴露密码或常用密码，最终成功猜中了正确密码。攻击者随后完成帐号访问，说明微软没有启用双因素认证，或者这一保护措施被绕过。

所谓“遗留的非生产测试租户帐号”的配置，正好让“午夜暴雪”得以侵入微软部分最高级别、最敏感的员工帐号。

未遵循基本安全实践！测试帐号未被保护且权限巨大

哥伦比亚大学计算机科学教授Steve Bellovin在Mastodon上评论说：

“事件揭示了很多耐人寻味的细节。黑客成功发动密码喷洒攻击，表明没有启用双因素认证，密码要么重复使用，要么偏弱。单凭‘测试租户帐号’权限就能访问属于‘高级领导……网络安全和法务’团队的电子邮件帐号，这表明有人授予一个测试帐号惊人的权限。为什么？这些权限在测试结束时为什么没有删除？我还注意到，微软足足花了大约七周的时间才察觉到这次攻击。”

微软表示，尚未发现 “午夜暴雪”访问客户环境、生产系统、源代码或AI系统的任何证据。一些研究人员提出质疑，怀疑Microsoft 365服务是否可能或已经遭到类似攻击技术入侵。

Kevin Beaumont是这些研究人员之一，他曾在微软工作过一段时间，拥有多年网络安全职业经验。他在LinkedIn上写道：

“微软员工使用Microsoft 365收发电子邮件。微软向SEC提交未透露细节的披露文件并发布博客的举措很值得赞许，但后续必须遵循真实细节。过去微软采用秘密术语、事件代号，依赖法务（CELA）团队，同时假装微软威胁情报中心能洞察所有威胁（威胁行为者也会使用苹果Mac电脑）的时代过去了。为了维持信任，微软需要进行根本性的技术和文化转型。”

CELA是微软内部的企业、外部和法律事务团队，主要负责起草披露文件。

微软代表表示，公司拒绝回答是否遵循了基本的安全实践等问题。

国际巨头屡遭身份攻击，亟待平衡安全与业务关系

此次入侵让人联想起，去年黑客组织Storm-0558对微软网络的一次类似攻击。在一个月的时间里，该组织访问了多个客户的Azure和Exchange帐号，其中包括美国国务院和商务部的帐号。当时外媒报道称：

“该公司一名工程师的企业帐号遭到黑客攻击。Storm-0558随后利用访问权限窃取了密钥。微软表示，这些密钥只授予通过背景调查的员工，并且只有在使用硬件令牌设备进行多因素身份验证的专用工作站时才能使用。为了保护这个专用环境，不允许使用电子邮件、会议、网络研究和其他协作工具，这些工具是进行恶意软件和网络钓鱼攻击的最常见手段。此外，专用环境与微软其他网络隔离开来，工作人员只能访问电子邮件和其他类型工具。”

“这些保护措施在2021年4月失效，这比Storm-0558访问微软网络早了两年多。在专用生产环境中，一旦某个工作站崩溃，Windows系统将执行标准的“崩溃转储”，将存储在内存中的所有数据写入磁盘，以便工程师后续可以诊断原因。微软后来将崩溃转储功能转移到调试环境。Storm-0558黑掉了一位微软工程师的企业帐号，得以访问崩溃转储，从中获取过期的Exchange签名密钥。”

“通常情况下，崩溃转储会移除签名密钥和类似的敏感数据。然而，在本次攻击事件中，一个此前未知的‘竞争条件’漏洞导致移除机制无法正常运行。”

无独有偶，日前谷歌旗下安全公司Mandiant的推特帐号也遭到入侵。Mandiant后来表示，入侵者对帐号密码进行了“暴力破解”攻击。Mandiant没有提供更多细节。这说明，Mandiant的推特帐号的密码同样很弱，也没有启用双因素认证。

这一事件促使微软加速实施去年发布的《安全未来倡议》。

微软官员在上周五的披露文件中写道，“我们将重新平衡安全和业务风险，传统的权衡方式已经远远不够。对于微软来说，这次事件提醒我们迫切需要加快行动。我们将立即将现行安全标准应用于微软拥有的遗留系统和内部业务流程，哪怕这些变化可能干扰现有业务流程也势在必行。”

参考资料：https://arstechnica.com/security/2024/01/microsoft-network-breached-through-password-spraying-by-russian-state-hackers/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。