- 对微软 Exchange Online 托管电子邮件服务攻击的审查发现,该事件本可避免,此外微软的信息安全文化松懈。
- 微软因纠正公众记录的缓慢努力而受到批评。
- 微软似乎没有优先考虑重建其遗留基础设施以应对当前威胁形势。
网络袭击可以预防
对 2023 年 6 月针对微软 Exchange Online 托管电子邮件服务攻击的审查发现,如果不是因为微软松懈的信息安全文化和低于标准的云安全预防措施,该事件本可避免。
这项审查由美国政府网络安全与基础设施安全局(CISA)的网络安全审查委员会(CSRB)进行,呼吁微软进行“快速文化变革”。委员会的建议包括:
微软的客户将受益于其首席执行官和董事会直接关注安全文化,并制定和公开分享具有具体时间表的计划,以对整个业务及其产品套件进行根本性的、以安全为重点的变革;
首席执行官应让高级官员对计划的实施负责;
微软领导层应考虑指示内部团队降低云基础设施和产品套件的功能开发优先级,直到做出实质性的安全改进以消除资源竞争;
在部署新功能之前,应充分适当地评估和处理安全风险。
这种强硬措辞回应了这次攻击,并将其归因于“微软的一系列可避免的错误”。
另请阅读:微软和 Epic 减少对独立游戏的投资
攻击的归咎所在
CSRB 报告[PDF]将攻击归咎于用于保护微软服务账户(MSA)的密钥轮换实践——MSA 是为该软件巨头的消费者云服务提供支持的身份管理系统。
MSA 设计于 21 世纪初,没有自动签名密钥轮换或停用流程。因此,微软手动管理密钥——但在 2021 年,由于该实践导致重大云服务中断,微软停止了这种做法。
因此,当 Storm-0558 获得了一个 2016 年创建的密钥(本应已停用)时,它就能访问提供给消费者的 Outlook Web Access 版本。事态由此升级,因为微软系统中的一个缺陷意味着 2016 年的 MSA 密钥可以创建令牌,允许访问企业电子邮件账户,而不仅仅是由 MSA 创建的消费者服务。因此,Storm-0558 能够创建令牌,使其能够访问微软的客户,如美国国务院。该团伙正是这样做的,从国务院窃取了约 6 万封电子邮件,以及所有员工的电子邮件地址列表。
报告指出,尽管其他云提供商在密钥轮换和实施其他安全控制方面做得更好,但微软却没有。因此,报告批评微软未能检测到其密钥的泄露。
微软还因其纠正公众记录的缓慢努力而受到批评。雷德蒙德声称攻击之所以可能,是因为在一个连接到互联网的调试环境中,一个故障转储中存在一把金质加密密钥。但微软从未证实这一理论。
忽视安全风险管理
报告的另一个主题是,微软“没有将安全风险管理置于与其技术对全球超过 10 亿客户的威胁或关键重要性相称的水平”。
调查人员考虑了微软的多云同行,发现他们比这家 Windows 巨头更加谨慎。作者发现,“微软没有足够优先地重建其遗留基础设施,以应对当前的威胁形势”。

