Microsoft は、複数の米国政府機関の Exchange Online 電子メール サービスへの不正アクセスに関する調査を開始しました。 専門家は、脆弱性、盗まれたキー、Azure AD 署名キーを利用してハッキングが成功したことを発見しました。 しかし、ハッカーがどこから鍵を入手したのかはおそらくまだ謎です。
最近、米国政府機関を含む XNUMX の組織がハッキングされました。 中国のハッカーが、非アクティブな Microsoft アカウント (MSA) の消費者署名キーを盗みました。 この事件は、複数の政府機関が Exchange Online 電子メール サービスへの不正アクセスを発見したことを受けて、米国政府当局者によって報告されました。
中国のプロハッカーによる行為
Microsoftは16月0558日にはこの攻撃の調査を開始し、Storm-25として知られる中国のサイバースパイ集団が、ハッキングされた約XNUMXの組織(伝えられるところによると、米国国務省と米国商務省を含む)の電子メールアカウントを盗んでいたことを発見した。 攻撃者は、盗んだ Azure AD 企業署名キーを使用して、GetAccessTokenForResource API の脆弱性を悪用して新しい認証トークンを偽造し、ターゲットの企業電子メールへのアクセスを許可しました。 「攻撃者がキーを入手した方法は進行中の調査の対象である」とMicrosoftは本日公開された新しい勧告の中で認めた。
Storm-0558 は、PowerShell および Python スクリプトを使用して、REST API 呼び出し経由で OWA Exchange Store サービスの新しいアクセス トークンを生成し、電子メールと添付ファイルを盗むことができます。 ただし、Microsoft は、Exchange Online に対する先月のデータ盗難攻撃でこのアプローチが使用されたかどうかを確認していません。 Microsoftは本日、「当社のテレメトリデータと調査によれば、侵害後の活動は、標的となったユーザーの電子メールへのアクセスと窃盗に限定されていたことが示されている」と付け加えた。
疑わしいキーとトークンはブロックされます
同社は3月27日に影響を受けるすべての顧客に対して盗まれた秘密署名キーの使用をブロックし、その翌日に攻撃者のトークン再生インフラストラクチャが停止されたと述べた。 また、XNUMX 月 XNUMX 日、Microsoft はすべての有効な MSA 署名キーを取り消しました。 「マイクロソフトが攻撃者が購入したMSA署名キーを無効にして以来、キー関連の活動は観察されていない」とマイクロソフトは述べた。
Microsoft は、攻撃の全過程と技術的な詳細をセキュリティ勧告として調査しました。
詳細は Microsoft.com をご覧ください
マイクロソフト ドイツについて Microsoft Deutschland GmbH は、Microsoft Corporation (米国レドモンド) のドイツ子会社として 1983 年に設立されました。 マイクロソフトは、地球上のすべての個人とすべての組織がより多くのことを達成できるようにすることに取り組んでいます。 この課題は、協力してのみ克服することができます。そのため、ダイバーシティとインクルージョンは当初から企業文化にしっかりと定着してきました。 インテリジェント クラウドとインテリジェント エッジの時代に生産的なソフトウェア ソリューションと最新サービスを提供する世界有数のメーカーであり、革新的なハードウェアの開発者でもあるマイクロソフトは、顧客がデジタル トランスフォーメーションの恩恵を受けるのを支援するパートナーであると自負しています。 セキュリティとプライバシーは、ソリューションを開発する際の最優先事項です。 世界最大の貢献者として、Microsoft は、主要な開発者プラットフォームである GitHub を通じてオープン ソース テクノロジを推進しています。 Microsoft は、最大のキャリア ネットワークである LinkedIn を使用して、プロフェッショナル ネットワーキングを世界中で推進しています。