- 기사는 중국 기반 위협 요소인 Storm-0558이 어떻게 Microsoft 계정(MSA) 소비자 키를 획득하여 토큰을 위조하고 OWA와 Outlook.com에 접근했는지에 대한 Microsoft의 기술 조사 결과를 논의합니다.
- Microsoft는 직원 접근을 제어하는 고도로 안전하고 고립된 생산 환경을 유지하며, 이에는 배경 검사, 전용 계정, 안전한 접근 워크스테이션, 하드웨어 토큰 장치를 사용한 다중 인증이 포함됩니다.
- 2021년 4월에 시스템 충돌이 발생하여 충돌 프로세스의 스냅샷이 생성되었고, 이는 경쟁 조건으로 인해 서명 키를 포함하게 되었습니다. 이 문제는 이후에 수정되었습니다.
- 키 물질을 포함하지 않는다고 생각되었던 충돌 덤프는 표준 디버깅 프로세스에 따라 고립된 생산 네트워크에서 인터넷 연결 기업 네트워크의 디버깅 환경으로 이동되었습니다.
- Storm-0558 요소는 키가 포함된 충돌 덤프가 있는 디버깅 환경에 접근할 수 있는 Microsoft 엔지니어의 기업 계정을 탈취할 수 있었습니다.
- 소비자 키는 2018년 9월에 도입된 공통 키 메타데이터 발행 엔드포인트로 인해 기업 메일에 접근할 수 있었습니다. 이는 소비자와 기업 애플리케이션 모두와 작업하는 애플리케이션을 지원하기 위함이었습니다.
- 메일 시스템의 개발자들은 라이브러리가 완전한 검증을 수행한다고 잘못 가정하고 필요한 발행자/범위 검증을 추가하지 않았으므로, 메일 시스템은 소비자 키로 서명된 보안 토큰을 사용한 기업 이메일 요청을 수락했습니다. 이 문제는 수정되었습니다.
- Microsoft는 깊이 있는 방어 전략의 일환으로 시스템을 지속적으로 강화하고 있습니다. 이러한 발견에 특화된 개선 사항에는 충돌 덤프에 서명 키가 포함되도록 허용한 경쟁 조건 해결, 충돌 덤프에 잘못 포함된 키 물질에 대한 예방, 탐지 및 대응 강화, 디버깅 환경에서 서명 키의 존재를 더 잘 탐지하기 위한 자격증명 스캔 강화, 인증 라이브러리에서 키 범위 검증을 자동화하는 강화된 라이브러리 출시가 포함됩니다.