기사는 중국 기반 위협 요소인 Storm-0558이 어떻게 Microsoft 계정(MSA) 소비자 키를 획득하여 토큰을 위조하고 OWA와 Outlook.com에 접근했는지에 대한 Microsoft의 기술 조사 결과를 논의합니다.
Microsoft는 직원 접근을 제어하는 고도로 안전하고 고립된 생산 환경을 유지하며, 이에는 배경 검사, 전용 계정, 안전한 접근 워크스테이션, 하드웨어 토큰 장치를 사용한 다중 인증이 포함됩니다.
2021년 4월에 시스템 충돌이 발생하여 충돌 프로세스의 스냅샷이 생성되었고, 이는 경쟁 조건으로 인해 서명 키를 포함하게 되었습니다. 이 문제는 이후에 수정되었습니다.
키 물질을 포함하지 않는다고 생각되었던 충돌 덤프는 표준 디버깅 프로세스에 따라 고립된 생산 네트워크에서 인터넷 연결 기업 네트워크의 디버깅 환경으로 이동되었습니다.
Storm-0558 요소는 키가 포함된 충돌 덤프가 있는 디버깅 환경에 접근할 수 있는 Microsoft 엔지니어의 기업 계정을 탈취할 수 있었습니다.
소비자 키는 2018년 9월에 도입된 공통 키 메타데이터 발행 엔드포인트로 인해 기업 메일에 접근할 수 있었습니다. 이는 소비자와 기업 애플리케이션 모두와 작업하는 애플리케이션을 지원하기 위함이었습니다.
메일 시스템의 개발자들은 라이브러리가 완전한 검증을 수행한다고 잘못 가정하고 필요한 발행자/범위 검증을 추가하지 않았으므로, 메일 시스템은 소비자 키로 서명된 보안 토큰을 사용한 기업 이메일 요청을 수락했습니다. 이 문제는 수정되었습니다.
Microsoft는 깊이 있는 방어 전략의 일환으로 시스템을 지속적으로 강화하고 있습니다. 이러한 발견에 특화된 개선 사항에는 충돌 덤프에 서명 키가 포함되도록 허용한 경쟁 조건 해결, 충돌 덤프에 잘못 포함된 키 물질에 대한 예방, 탐지 및 대응 강화, 디버깅 환경에서 서명 키의 존재를 더 잘 탐지하기 위한 자격증명 스캔 강화, 인증 라이브러리에서 키 범위 검증을 자동화하는 강화된 라이브러리 출시가 포함됩니다.