概要
- Storm-0558 并未攻破某个联邦机构的密码控制措施。它利用 Microsoft 消费者签名密钥生成看似有效的身份令牌,并利用 Microsoft 的验证缺陷,使这些由消费者密钥签名的令牌得以访问企业 Exchange Online 邮件。
- 密钥获取路径仍未解决。Microsoft 2023 年 9 月的崩溃转储解释后来被降级为一种主要假设,因为该公司承认未找到包含该密钥的崩溃转储或证明数据外泄的日志。密钥过期、跨边界验证缺陷、令牌异常检测薄弱以及取证留存有限,是更确凿的失败发现。
- 问责应与控制能力挂钩。只有 Microsoft 能够轮换平台密钥、修正服务端验证器、检测其云环境中不可能的令牌组合、保存相关内部证据并关闭攻击途径。客户可以改进监控与响应,但在 2023 年,关键性的 MailItemsAccessed 遥测数据仅与更高价格的 E5/G5 许可绑定。
身份控制失败,而非传统的邮箱入侵
Storm-0558 入侵事件很容易被压缩成一句熟悉的描述:中国黑客窃取了 Microsoft 密钥并阅读政府邮件。这句话在大方向上正确,但在分析上却不够充分。它将攻击者的行为、Microsoft 尚未解决的加密材料丢失、一个单独的软件验证缺陷、一个旧密钥的生命周期决策、客户侧的成功检测以及服务提供商的响应全都合并为一个事件。一旦将这些机制分开,责任的分配就变得清晰得多。
这次入侵本质上并非政府员工泄露密码、某个机构未部署多因素认证或某台未打补丁的服务器处于部门内部之类的情况。Storm-0558 持有一个 2016 年创建的 Microsoft 帐户(MSA)消费者签名密钥的私钥部分。持有私钥者可以生成令牌,其签名可以通过对应的公钥进行验证。因此,攻击者可以在未获取受害者密码的情况下声称身份。Microsoft 的第二个缺陷允许本应用于消费者帐户的密钥对企业 Exchange Online 的请求进行身份验证。其结果是获得了跨 Microsoft 消费者与组织身份系统边界的平台级冒充能力。
Microsoft 的2023 年 7 月技术分析解释了基本机制:攻击者利用获取的消费者密钥伪造 Azure Active Directory 令牌,使用合法的 Outlook Web Access 流程,通过 GetAccessTokenForResource 接口获取 Exchange Online 令牌,并通过 OWA API 检索邮件。Microsoft 表示,一个设计缺陷还允许攻击者通过出示该接口先前颁发的令牌来获取新的访问令牌。这不仅仅是简单的凭据重放。这是对 Microsoft 服务视为有效凭据的未经授权的制造和续期。
这种区别对于云问责至关重要。客户通常仍需对其身份、设备卫生、权限、应用程序配置和事件响应负责。但客户无法检查或轮换云提供商的根签名材料、修补提供商的生产令牌验证器,或在提供商的身份颁发平面内部署检测器。当故障源于仅可由提供商控制的措施时,将事件描述为共同责任问题而不具体说明谁控制了哪些安全措施,只会模糊而非澄清事实。
同样重要的是,不应将此事件错误归类为服务中断。公开记录并未显示 Exchange Online 对受影响的机构变得不可用。损害在于机密性和受信通信的丧失,以及随之而来的重大调查负担。公共部门的连续性不仅仅包括保持服务可访问。外交、经济、立法和国家安全工作依赖于官员能够使用通信系统而不被对手无声地阅读。云可以在技术上保持“在线”,而其支持的公共职能却变得更不可信。
已确定的事实、推断及未解之谜
三类证据应区分开来。
首先,公开记录确认 Storm-0558 使用了 Microsoft 2016 年创建的 MSA 消费者签名密钥来伪造令牌;Microsoft 的验证缺陷使得这些令牌能够访问企业 Exchange Online 帐户;美国国务院通过增强的邮箱访问日志发现了可疑活动;Microsoft 通过一系列服务端更改缓解了已知技术。Microsoft 的披露、CISA 的响应建议、受影响机构的声明以及网络安全审查委员会(CSRB)的重建均指向这些事实。
其次,CSRB 就可预防性、控制设计、安全文化、披露和行业实践做出了调查结果。其对 2023 年夏季入侵事件的完整审查结论认为,该事件本可预防,且本不应发生。委员会访问了 20 个组织,获得了 Microsoft 的合作,对比了其他主要云服务提供商的控制措施,并发现了一系列本可避免的故障。这些是独立的审查发现,而非司法结论,但其强度远高于仅基于 Microsoft 早期博客的评论。
第三,Storm-0558 获取 2016 年私钥的实际途径在公开记录中仍不清楚。这一不确定性至关重要。Microsoft 于 2023 年 9 月发布了详细的崩溃转储叙述,随后在 2024 年 3 月添加更正,称未找到包含受影响密钥材料的崩溃转储。CSRB 报告称,Microsoft 探索了 46 种密钥窃取假设,仍不知攻击者如何或何时获取了密钥。任何将崩溃转储表述为已证实根本原因的说法都夸大了证据。
公开记录也未确定最终的法律损失分配。国会审查、调查请求以及 Microsoft 接受 CSRB 调查结果均与问责相关。但它们并非法院判决、机构执法决定、合同解释或量化损害分析的替代品。适当的结论更为狭窄:Microsoft 控制着数个失败的保障措施,并接受了 CSRB 所指出的问题;现有来源并未确立最终的民事、刑事或监管责任。
取证时间线
2016-2021 年:长期密钥与延迟迁移
Microsoft 于 2016 年创建了消费者签名密钥。密钥的年限本身并不证明不安全,但当组织无法确保持续保管,且轮换可限制被盗材料的可用寿命时,密钥年代便变得重要。CSRB 发现,Microsoft 的消费者 MSA 系统依赖手动轮换,而其企业身份系统已转向自动化。该公司本打算将消费者系统迁移至自动化技术,但在入侵前尚未完成。
根据 CSRB,Microsoft 在 2021 年一次与手动流程相关的大规模云服务中断后停止了消费者签名密钥的手动轮换。当时并未部署自动轮换替代方案,也未设置提醒负责团队注意正在老化的活跃密钥的警报。因此,2016 年的密钥在 2023 年仍被接受。这是一个典型的可用性与安全性决策,其递延成本隐藏其中:暂停有风险的手动程序可降低即时中断风险,但未完成补偿性自动化则无限期地保留安全风险。
委员会的这一发现比简单地说一个“过期”密钥仍在生效更有用。密钥被接受或拒绝取决于服务的实时信任配置。关键故障在于,本应退役的密钥仍保留在信任集合中。Microsoft 当前的签名密钥轮换指南指出,应用程序应以编程方式处理定期和紧急轮换,并建议使用标准库以避免细微缺陷。该指南描述了面向客户的验证行为,但其基本原则更广泛适用:密钥更换必须是一种工程化能力,而非一种脆弱的仪式,过于危险而无法执行。
2018 年 9 月,Microsoft 引入了一个通用密钥元数据发布端点,以满足同时服务于消费者和企业用户的应用程序需求。Microsoft 后来的说明称,文档已更新以解释密钥范围验证,但帮助程序库未更新以自动强制执行该范围。Exchange 邮件系统于 2022 年开始使用该通用元数据端点。开发者假设程序库执行了完整验证,未添加所需的颁发者或范围检查。因此,该通用端点增加了互操作性,但也造成了信任边界风险:密码学有效性被误认为在正确身份域内的授权。
CSRB 的重建还将另一相关事件置于 2021 年。Storm-0558 在 4 月至 8 月间通过一名工程师的帐户入侵了 Microsoft 的企业网络。该工程师就职于 Microsoft 于 2020 年收购的 Affirmed Networks;Microsoft 认为该设备在收购前已被入侵,随后以企业凭据连接到 Microsoft 环境。攻击者捕获并重放了身份验证令牌,访问了 SharePoint 中的材料,包括与 Azure 服务管理和身份相关的信息。委员会批评 Microsoft 未能在允许被收购公司设备接入企业网络前检测到其已被入侵。
2021 年的这次入侵是攻击者访问和兴趣的证据。它并不证明攻击者当时获得了 2016 年 MSA 密钥。Microsoft 告知委员会,2021 年的入侵很可能相关,因为它是已知的唯一其他记录中 Storm-0558 对 Microsoft 网络的入侵,但该公司未提供将其与密钥盗窃联系的具体证据。严谨的叙述必须保留这一空白。
2023 年 5-6 月:访问先于提供商检测
Storm-0558 建立了确定的外部基础设施,并于 2023 年 5 月 15 日前开始访问目标的 Exchange Online 帐户。CSRB 提醒,由于 Microsoft 的标准 30 天日志留存限制了调查启动后的追溯视野,攻击窗口可能开始得更早。“首次发现”因此是一个证据边界,不一定是攻击的真实开始。
攻击目标反映了间谍优先级。最终 CSRB 统计确定了全球 22 个组织和 500 多个个人,包括美国、英国及其他地区的受害者。受影响帐户包括商务部长吉娜·雷蒙多、美国驻华大使 R. 尼古拉斯·伯恩斯、负责东亚和太平洋事务的助理国务卿丹尼尔·克里滕布林克以及国会议员唐·培根。Microsoft 最初于 7 月 11 日的事件通知提及约 25 个组织和相关消费者帐户。这一差异最好视为早期公司通知与后来独立重建之间在事件计数上的变化,而非新入侵的证据。
美国国务院而非 Microsoft 发现了此次行动。6 月 15 日,国务院安全运营中心观察到异常。6 月 16 日,一条名为“Big Yellow Taxi”的自定义规则从 MailItemsAccessed 审计事件中生成警报,该事件记录对 Exchange Online 邮箱项目的访问。尽管可能存在误报,国务院仍进行了调查,并于当日联系 Microsoft。截至 6 月 19 日,国务院确定六个帐户已被访问,包括与国务卿北京之行准备工作相关的帐户。它随后识别出 6 月 21 日至 24 日期间另有六个帐户被访问,并通过分析一台扣押的虚拟专用服务器确定了另一个帐户。
这些日期显示发现与遏制同持续的访问重叠。国务院的警报是一次检测成功,但并未立即揭示出伪造的平台凭据。Microsoft 最初排查了常见解释,如受入侵设备和窃取的正确颁发的令牌。其分析师随后观察到 Exchange Online 身份验证工件与预期日志中的 Azure AD 令牌不符。大约在 6 月 26 日,Microsoft 确定攻击者正在使用 2016 年消费者密钥创建对消费者和企业邮件均有效的令牌。
CISA-FBI 联合建议 AA23-193A在缓解能力分配上异常直接。它指出,由于受影响的基础设施是基于云的,此活动的所有缓解措施都是 Microsoft 的责任。它还指出,各机构未发现其他能够检测该活动的审计日志或事件。客户检测到了事件,但只有提供商能够关闭攻击技术。
2023 年 6 月 26 日-7 月 3 日:分阶段缓解而非单一开关
Microsoft 的详细时间线记录了数个具体行动:
- 6 月 26 日,OWA 停止接受由 GetAccessTokenForResource 颁发的令牌进行续期,关闭了攻击者利用的续期行为。
- 6 月 27 日,Microsoft 阻止 OWA 使用由获取的 MSA 密钥签名的令牌,通过观察到的路径防止进一步的企业邮件访问。
- 6 月 29 日,Microsoft 完成密钥替换,撤销了事件期间有效的所有 MSA 签名密钥,并从加固系统颁发了新密钥。
- 7 月 3 日,Microsoft 阻止受影响消费者客户使用该密钥,以防止使用先前颁发的令牌。
该顺序说明了为何“密钥已被撤销”不足以描述遏制措施。伪造令牌活动可能涉及缓存的验证元数据、下游访问工件、续期接口、消费者与企业服务以及已颁发的令牌。持久的遏制需要映射每个旧信任决策仍在生效的地方。
Microsoft 表示观察到 Storm-0558 在已知伪造令牌路径被阻断后转向网络钓鱼和其他技术,并且未再发现与密钥相关的活动。这支持了即时缓解措施针对所观察方法的有效性。但这并不证明原始获取路径已被识别,或攻击者从未获取其他敏感材料。CSRB 明确表示,获取其他密钥和数据的可能性仍未解决。
2023 年 7 月-2024 年 3 月:披露、日志改革及更正的根本原因声明
Microsoft 于 7 月 11 日公开披露了该行动,并于 7 月 14 日发布了更深入的技术分析。其早期帖子正确描述了密钥滥用和验证错误,同时指出密钥获取仍在调查中。7 月 19 日,在与 CISA 协调后,Microsoft 宣布详细的电子邮件访问日志和超过 30 种其他审计事件类型将免费提供给标准层客户。该公司还表示审计标准版的默认留存期将从 90 天延长至 180 天。Microsoft 的日志公告是一项重要响应,因为它改变了谁能够看到检测提供商滥用行为所需证据的情况。
9 月 6 日,Microsoft 发布了其所谓的主要技术调查结果。原始叙述声称,2021 年 4 月一次消费者签名系统崩溃产生了崩溃转储;竞争条件允许密钥进入转储;该转储从隔离的生产环境转移到连网的企业调试环境;凭据扫描器遗漏了它;随后 Storm-0558 入侵了一个有权访问该环境的工程师帐户。由于相关日志已过期,Microsoft 将此称为最可能的获取机制。
该叙述提供了一个连贯的链条,但该链条缺乏直接证据支持。Microsoft 的已版本化的九月报告现在以 2024 年 3 月 12 日更新开头。该公司称其当前主要假设仍是操作错误导致密钥材料离开安全签名环境,并通过受入侵的工程帐户被访问。它还表示未找到包含受影响密钥的崩溃转储,提及的竞争条件影响的是转储能否离开签名环境而非密钥材料能否存在,并且移除此类材料虽非常规流程但当时未被禁止。
该更正改变了该叙述的认识论地位。一个合理的假设并非根本原因发现。CSRB 报告称,Microsoft 在 2023 年 11 月告知委员会其在发布后不久即意识到 9 月声明不准确,但直到 2024 年 3 月,在委员会反复询问后才发布更正。这一延迟成为委员会安全文化发现的一部分,因为客户利用根本原因披露来判断实际获取路径是否已被关闭。
根本原因、触发因素及检测失败
事件分析在将触发因素与根本原因及检测与响应失败分开时会更加精确。
触发因素
操作触发因素是 Storm-0558 利用窃取的 2016 年 MSA 私钥创建令牌,并通过 Exchange Online 访问路径呈现。攻击者选择目标、运营基础设施、生成断言、访问邮件并导出消息。攻击者对恶意入侵负有责任。归因于与中华人民共和国关联的间谍行为体是 Microsoft 和 CSRB 报告的情报评估;本文不做独立的国家指挥归因。
技术根本原因与促成条件
第一个根本原因问题,即私钥如何脱离 Microsoft 控制,仍未解决。应将其记录为一个未解的重要事实,而非用崩溃转储假设填补。
第二个原因则确凿得多:旧密钥仍被信任。2021 年一次中断后手动消费者密钥轮换停止,自动化替换尚未准备好,且未有有效的密钥老化警报推动解决。盗窃一个短期或已及时退役的密钥本会产生较小的机会窗口。盗窃一个多年来仍被接受的密钥则产生了持久的签名能力。
第三个原因是令牌验证范围失败。服务根据通过通用元数据获得的密钥材料检查签名,但未充分证明该密钥的身份域被允许授权所请求的企业资源。Microsoft 当前的访问令牌验证文档要求资源服务器验证令牌签名、受众、颁发者、租户和签名密钥颁发者。Storm-0558 案例说明了为何这些检查并非冗余。一个数学上有效的签名回答了谁持有私钥;它本身并未回答该密钥是否被授权用于此租户、帐户类别、服务或资源。
第四个原因是 OWA 令牌续期设计缺陷。一旦伪造身份通过合法流程被接受,GetAccessTokenForResource 允许一个令牌获取另一个,而 Microsoft 后来更改了这一行为,以区分 Azure AD 和 MSA 颁发。这并未创造原始签名能力,但使访问路径更有用且持久。
第五个促成条件是提供商侧异常检测不足。Microsoft 表示攻击者的令牌模式在回顾时是明显的,因为没有合法的 Microsoft 系统以该组合签署令牌。然而,在客户报告邮箱行为之前,提供商并未对这一不可能或高度异常的状态发出警报。CSRB 发现其他云提供商拥有 Microsoft 缺乏的控制措施,并建议提供商利用生成算法中的专有数据和验证信号来检测伪造断言,即使签名验证通过。
检测与响应失败
检测依赖于一个拥有高级许可证、自定义分析、熟练操作人员的客户,以及愿意追踪一个此前曾产生误报的中等警报的意愿。这是国务院一项了不起的控制措施。但它也是一个不稳定的系统级安全模型。不能期望成千上万的客户通过可选的邮箱事件重建提供商的密码学泄露,尤其是当此次活动所需的事件对标准许可证用户不可用时。
当时,MailItemsAccessed 通过 Microsoft Purview 审计高级版提供,需要 E5 或 G5 许可。国务院拥有 G5 并能够创建 Big Yellow Taxi。其他无高级日志记录的受害者缺乏同样的历史可见性。CISA 和 FBI 的建议因此敦促各组织启用高级日志记录,同时明确提及许可要求。七天后,Microsoft 承诺移除关键事件类型的层级壁垒。CISA 局长珍·伊斯特利在CISA 7 月 19 日声明中将此变化描述为朝向设计安全实践的一步。
响应还受到提供商证据留存的限制。Microsoft 没有确定密钥如何或何时被盗所需的日志。30 天的窗口限制了可观察的最早客户活动,而 2021 年假设所需的更早的企业和生产事件则不可用。日志留存总是涉及成本、隐私和访问控制义务,但如果提供商的证据视野短于复杂行为者可能保持静默的时间,则无法可信地声称保护密码学皇冠上的明珠。
最后,对九月因果叙述的延迟更正是响应失败。它并未促成最初的入侵,但损害了公共保障。事后报告应区分事实、评估假设、置信水平、矛盾证据和未决问题。发布一个听似完整的机制并仅在六个月后更正,使得客户和监督者更难判断补救是否针对了实际路径。
日志记录与许可问题
日志记录有时被视为一种附属产品功能。在此事件中,它是一种安全控制以及信息不对称的来源。
Microsoft 拥有服务范围遥测和任何客户都无法获得的内部身份系统可见性。每个客户只能观察自己的租户以及其订阅和配置中包含的事件类型。决定性警报来自 MailItemsAccessed,这是一个旨在显示邮箱项目何时被访问的事件。CISA 和 FBI 表示,他们不知道还有其他审计事件能够检测到此活动。没有此事件的客户仍然可以注意到上下文迹象,但缺乏同样直接的证据表面。
这造成了一个有问题的商业界限。高级安全产品可以合理地对高级分析、自动化、长期留存和托管调查收费。检测厂商运营的服务是否访问了客户数据所需的最小证据则不同。当提供商单独控制系统,而客户必须额外付费才能观察由提供商自身身份故障导致的访问时,客户被要求购买对自身无法直接修复的风险的可见性。
事件后的变化认识到了这一区别。Microsoft 承诺全球免费提供更广泛的云安全日志,向审计标准版添加详细的电子邮件访问事件,并将默认标准留存期加倍至 180 天。2024 年 2 月,CISA、管理和预算办公室、国家网络总监办公室和 Microsoft 宣布,扩展的日志记录将对所有使用 Purview 审计(无论层级)的联邦机构可用,并默认启用且延长留存期。联合实施公告将无需额外费用或配置的高质量审计日志构建为设计安全期望。
这一改革并未消除客户责任。日志必须路由至可搜索系统,根据风险和法律要求留存,建立基线,查询并连接到响应程序。CISA 的建议正是推荐这些措施。但只有在提供商发出相关事件并使其可访问后,客户的操作纪律才有意义。遥测可用性和遥测使用是由不同方控制的两个独立控制项。
许可也影响了受害者之间的取证平等。国务院的 G5 环境比标准层环境拥有更强的历史记录。在事件后启用某事件无法重建从未被记录的内容。这意味着相同的提供商故障可能基于客户订阅产生不同的影响置信水平,尽管双方客户均不控制底层的签名密钥。因此,最小取证证据应被视为服务安全基线的一部分,而不仅仅是追加销售项。
联邦客户影响与公共部门连续性
此次入侵影响了非机密电子邮件,但“非机密”并不意味着在操作上微不足道。高级官员的邮箱包含日程、政策讨论、联系网络、谈判立场、草案语言以及政府运行的日常连接性组织。情报部门可以通过聚合、时序、关系和上下文获取价值,而无需获取正式保密文件。
国务院后来表示,从 10 个帐户下载了约 60,000 封电子邮件。在其2023 年 9 月 28 日新闻发布会中,国务院将受影响的材料描述为非机密,并称没有保密邮件系统被黑。CSRB 的更广泛重建识别出更多的国务院帐户被访问,这反映了计算帐户访问的不同方式以及下载消息的子集。本文不推断超出机构披露范围的消息内容。
根据 CSRB,商务部长的官方和个人邮箱均在受影响之列。美国众议院也在受影响范围内,包括国会议员唐·培根。2023 年 8 月,众议院监督委员会发起调查,就发现、影响、响应和未来安全寻求国务院和商务部的简报。这些事实确立了敏感的公共部门暴露和监督关注;它们并不确立特定政策决定因入侵而改变。
在此背景下,连续性至少有五个维度。
首先是保密连续性:官员需要持久的预期,即常规云通信不会被外国情报行为体无声复制。
第二是决策连续性:准备外交旅行或经济政策的团队必须能够在不确定对手可以同时访问其邮件的情况下进行讨论。
第三是证据连续性:各机构需要足够的留存数据以重建谁在何时访问了什么。否则,领导者无法自信地界定事件或决定哪些关系和决策需要重新验证。
第四是响应连续性:提供商入侵迫使各机构重新部署安全、法律、外交、记录和领导能力。即使邮件保持可用,任务工作也会承担隐藏的事件响应税。
第五是信任连续性:联邦对共享云服务的采用取决于保证,即提供商将检测自身控制平面中的故障,准确披露它们,并为客户提供有用证据。一个服务可以达到正常运行时间目标,却未能通过这一更广泛的连续性检验。
此次事件还暴露了集中风险。Microsoft 在政府和私营部门的大部分领域提供身份、电子邮件、生产力、操作系统、安全和云服务。集成可以改善管理和检测,但它也可能允许一个提供商侧的身份缺陷在全球规模上跨越组织边界。CSRB 将 Microsoft 的中心地位描述为要求最高安全、问责和透明度标准的理由。
集中本身并不自动得出每个机构都应放弃 Microsoft 或维护重复邮件系统的结论。迁移本身会带来成本和风险,并且多个提供商可能重现类似的身份弱点。更强的结论是,采购和监督必须明确评估共同模式身份故障:密钥分割、提供商侧异常检测、审计访问、证据留存、事件通知、独立测试以及退出或连续性安排应被视为服务需求。
CSRB 的调查结果及其重要性
CSRB 的出版物页面将该报告描述为对运营和战略决策的独立审查,并称其建议了行业和政府最佳实践。其核心发现是严厉而具体的。
委员会得出结论,Microsoft 的安全文化不足,需要彻底改革。其结论基于可避免的连锁故障、未能检测到关键签名密钥的泄露、依赖客户发现、与其他提供商控制措施的对比、2021 年被收购设备入侵、对不准确公开声明的延迟更正以及一项不在此次审查范围内的独立 2024 年国家入侵事件。该发现是组织性的,因为没有一个单一编码错误可以解释为何密钥仍被接受、为何域分离失败、为何不可能的令牌模式未触发警报、为何证据不可用以及为何因果声明超前于证据。
委员会还给出了具体的反事实推演。如果手动轮换没有在未完成自动化替代的情况下暂停,或者如果密钥老化警报强制采取了行动,那么 2016 年的密钥在 2023 年不会仍然有效。如果消费者和企业验证被正确分离,攻击者的触及范围将窄得多,且不会包括企业客户。如果 Microsoft 检测到了不符合其自身生成算法的令牌,该活动可能已在提供商侧被阻止或检测到。如果存在更强的取证留存,Microsoft 可能已经回答了密钥获取问题。
这些反事实推演证明了一个分层安全原则。入侵并不要求所有控制以相同方式失效。几个独立控制中的任何一个单独都可能防止企业入侵或实质性缩短其时间:
- 安全保管本可能防止密钥丢失。
- 频繁自动轮换本可能使被盗密钥在 2023 年前失效。
- 范围感知验证本可能将消费者密钥限制在消费者服务内。
- 有状态或专有令牌检查本可能检测到 Microsoft 自身绝不会颁发的令牌。
- 全提供商的监控本可能发现不可能的签名域组合。
- 基线客户日志本可能让更多受害者检测并界定访问。
- 更长的提供商留存在本可能提高根本原因置信度。
这就是为何未解决的窃取路径并不妨碍问责分析。未知很重要,但数个独立充分或影响限制的失败已有记录。供应商不能以缺失一个根本原因环节为由,将整个链条视为不可知。
委员会的建议超越 Microsoft。他们呼吁现代密钥管理实践、自动化频繁轮换、硬件保护密钥、通用身份验证库、更强的数字身份标准、无额外费用的最低客户日志记录、至少六个月的适当客户可访问日志、更好的受害者通知以及更透明的云漏洞披露。这些措施针对的是一种行业结构,其中提供商同时掌握特权控制和最佳证据。
Microsoft 的回应
Microsoft 的即时响应纠正了已知的验证器和续期缺陷,封禁了被盗密钥,撤销了当时活动的 MSA 签名密钥,将消费者密钥移向加固的企业密钥库,增加了隔离,并改进了密钥系统监控。这些行动直接针对所观察的活动。Microsoft 还通知了受影响组织,并发布了供防御者使用的基础设施指标。
该公司随后通过扩大审计访问做出了商业控制上的改变。这一行动可在产品承诺和联邦推广中独立观察,但事件覆盖的实际完整性仍取决于服务、配置、留存和客户运营。
2023 年 11 月,Microsoft 启动了安全未来倡议。其最初的 SFI 公告承诺构建一个统一的、完全自动化的消费者和企业密钥管理系统,使用机密计算和硬件安全模块,架构设计确保即使底层进程被入侵,密钥仍不可访问。随附的工程博文承诺在无需人工访问的情况下进行高频自动轮换。
在 CSRB 报告和另一起针对 Microsoft 企业邮件的俄罗斯国家入侵事件后,该公司于 2024 年 5 月扩展了 SFI。Microsoft 的扩展计划设定的目标包括:签名密钥的快速自动轮换和硬件保护、跨应用程序的标准身份 SDK、身份令牌的有状态和持久验证、更细粒度的密钥分区、消除横向身份移动、安全日志的两年留存以及为客户提供至少六个月适当日志。它还表示部分高级领导层的薪酬将与安全里程碑挂钩。
2024 年 6 月,Microsoft 副主席兼总裁布拉德·史密斯向众议院国土安全委员会表示,公司对 CSRB 报告中指出的所有问题负责。他的书面证词称,Microsoft 正在落实适用于公司的所有 16 项委员会建议,已投入相当于 34,000 名全职工程师的资源用于 SFI,正在将消费者和企业身份系统过渡到硬件支持的密钥管理系统,并在自动化轮换、通用身份验证库和令牌验证信号方面取得了进展。国会听证会记录提供了公开监督背景和质询。
截至 2024 年 9 月,Microsoft 报告成立了网络安全治理委员会、为各工程部门设置了副首席信息安全官、将安全纳入员工绩效评估,并定期进行高管和董事会审查。该公司的SFI 进展更新是治理变更和所述实施进展的证据。
这些响应是重要的承诺。在尚无公开独立验证的情况下,它们仍应被描述为承诺和公司报告的进展。一个可信的关闭标准需要可衡量的密钥轮换覆盖率、证明旧版验证器已退役、显示消费者和企业边界故障关闭的测试、保留足够的遥测以调查关键事件,以及外部保证例外情形不会悄悄持续。
基于控制能力的问责
一份有用的问责地图始于谁能预防、检测、限制或缩短每个故障。
Microsoft 控制着密钥生成、存储、轮换、退役和生产信任集合。它控制着通用元数据架构、帮助程序库、Exchange Online 验证器、OWA 令牌续期接口以及服务范围的检测逻辑。它控制着内部生产和企业证据留存。它还控制着公开技术披露的准确性和及时性。这些表面的责任主要在于 Microsoft。
美国国务院控制着其租户监控、自定义警报逻辑、分类、上报以及与 CISA 和 FBI 的协调。它有效地执行了这些任务,足以发现一起提供商层面的入侵。其他客户在可用遥测范围内控制着自己的监控和响应。客户责任仍然真实,但无法替代客户无法看到或更改的提供商控制项。
CISA、OMB 和机构采购官员控制着联邦基线的一部分:日志要求、配置指南、合同期望、跨机构协调以及要求更安全默认设置的杠杆。他们事件后的日志工作减少了一个不平等。一个成熟的采购制度不应依赖危机来确立客户需要访问邮箱访问证据。
Storm-0558 控制着敌对操作并应对入侵负责。这一明显事实并不消除可预防性。安全调查通常会检查为何恶意或危险输入到达了受保护系统,尽管行为体有罪。归因和防御问责回答的是不同问题。
公司董事会和高管控制着资源分配、风险接受、激励和截止日期。一次中断后手动密钥轮换的暂停不仅仅是一个孤立的工程错误;安全后果持续存在,因为自动化和警报未获得或维持足够的优先级。Microsoft 后来决定将领导层薪酬与安全里程碑挂钩,隐含承认相关控制层级高于编写验证器的团队。
这种分配不应机械地转化为法律责任的百分比。合同、主权豁免、损害赔偿、因果关系、披露义务和监管管辖权各不相同。参议员罗恩·怀登2023 年 7 月的请求要求司法部、联邦贸易委员会和 CSRB 调查 Microsoft 的做法。该请求是监管关注的证据,而非表明被请求机构做出了执法结论。本文所引用的任何公开记录均未确立对 Storm-0558 的最终法律判决。
持久的补救应证明什么
就观察到的 2016 年密钥技术而言,该事件应被认为已在操作上关闭。但更广泛的保障问题仍保持开放,直到补救能在多个维度得到证明。
密钥保管与生命周期
Microsoft 应能够展示消费者和企业签名密钥在硬件保护的系统内生成和使用,无法被导出到调试或通用企业环境,按其能力成比例地自动轮换,并在年限或策略例外超过限制时生成可操作的警报。紧急轮换应能在不导致类似 2021 年暂停的中断的情况下进行。密钥分割应减少任何单一密钥暴露的租户、服务和帐户类别数量。
验证正确性
每个依赖服务应使用经批准的程序库,验证签名、颁发者、受众、租户、帐户类别、密钥颁发者、有效期和服务特定授权。Microsoft 的OpenID Connect 文档解释,发现元数据公开提供商端点和公共签名密钥;它并不使每个列出的密钥对每个资源可互换。一致性测试应故意呈现正确签名但错误范围的令牌,并验证拒绝。
超越无状态签名的防伪能力
仅签名的持有者令牌在签名密钥被盗后仍可能令人信服。有状态验证、持有证明方法、专有颁发标记、有限生命周期和快速撤销可以降低这种风险。目标不是放弃标准,而是确保持有一个密钥不会产生不可观察的全球权威。
提供商和客户遥测
提供商应检测跨服务的不可能令牌组合,并为复杂活动保留足够长时间的敏感内部证据。客户应默认接收邮箱访问和身份事件,无高级门槛,采用可导出到独立分析工具的文档化模式。委员会建议并作为 SFI 目标采用的六个月客户可访问日志,应作为高价值云身份活动的底线,而非理想上限。
事件沟通
技术披露应附带版本历史、置信水平和明确的未决问题。当已发布假设失去证据支持时,更正应迅速且醒目。提供商不应需要监督机构反复询问不准确的根本原因陈述是否会被修正。
独立保障
公司进展报告有用,但对于依赖公共部门的控制平面而言不足。联邦客户需要保障机制,能够测试轮换、密钥隔离、验证器覆盖、警报性能和取证留存,而不暴露机密。重点不是公开敏感架构。而是证明所声称的控制在生产环境中运行,包括遗留系统和已收购环境。
云客户与公共采购者的实际教训
客户无法修复提供商的签名系统,但他们可以使依赖性更具可治理性。
首先,采购证据,而不仅仅是功能。合同和服务基线应明确哪些访问、身份、管理、令牌和邮箱事件可用;它们多快到达;可搜索保留多长时间;以及客户能否导出它们。日志记录应在事件前通过模拟事件进行测试。
其次,围绕数据访问以及登录构建分析。伪造令牌可能绕过防御者期望从密码盗窃中看到的异常。MailItemsAccessed 之所以重要,是因为它观察了受保护的动作,而不仅仅是身份验证仪式。高价值环境应建立不寻常邮箱访问、应用程序标识符、地理位置、客户端行为和访问量的基线。
第三,维持一个假设提供商可能是事件一部分的上报路径。租户团队应知道如何在不依赖可能已受入侵的邮件渠道的情况下联系提供商的安全响应组织、CISA 或相关国家当局、执法部门和执行领导层。
第四,将身份集中视为连续性风险。采购者应了解哪些关键服务共享一个身份根、一全提供商的密钥入侵可能触及的范围,以及在重新建立云信任期间哪些功能可以继续。这可能意味着对最敏感的工作流进行分割、使用单独的管理身份、独立日志存储或选择性多样性。
第五,测试提供商的通知和证据承诺。承诺通知“受影响客户”仅与提供商识别他们的能力同样有用。在 Storm-0558 案例中,只有 Microsoft 能够识别大多数受害者,因为伪造令牌在其服务内部运行。这使得全提供商范围的遥测和及时外联成为客户检测架构的一部分。
最后,不要混淆共享责任与能力平等。客户应保护他们能控制的内容。提供商应对提供商独有的控制项负责。监管者和采购者应关注两者之间的边界,因为那里是安全需求最可能变得模糊、可选或货币化的地方。
评估
Storm-0558 Exchange Online 入侵是一起可预防的云身份故障,其初始密钥获取路径未解决。公开证据支持高置信度发现:Microsoft 允许一个旧的消费者签名密钥保持受信任,未能强制执行消费者和企业令牌验证之间的边界,缺乏足够提供商侧检测来发现自身系统不会颁发的令牌组合,并保留了太少证据来重建密钥的脱离。还支持另一发现:高级许可门槛的客户日志在实质上影响了谁能够检测和调查此次活动。
Microsoft 的响应针对了观察到的访问路径,随后扩展到密钥管理、验证、日志记录、治理和激励改革。布拉德·史密斯对 CSRB 发现的接受是重要的。同样重要的是移除核心事件的日志付费墙,以及向硬件支持的自动化轮换的转变。剩余的问责问题是这些变化是否完整、持久,且能在 Microsoft 遗留和当前的身份基础设施中得到独立验证。
此次事件更广泛的教训不是云服务本质上不如客户自运营系统安全。大型提供商可以部署超出大多数客户范围的规模、情报和补救措施。教训是,规模也集中了隐藏的权力。当一个签名密钥和一个验证错误可以触及全球组织时,安全取决于提供商的内部密钥纪律以及客户无法自行生成的证据。
因此,公共部门的连续性需要一个更广泛的服务可靠性定义。可用性是必要的,但保密性、可信赖的身份、可重建的证据、及时披露以及提供商入侵后恢复信任的可靠路径也同样必要。Storm-0558 让 Exchange Online 保持运行。它仍然破坏了政府使用它所依据的前提。这就是为何该事件应作为云问责失败而非仅仅又一个成功的间谍行动而被记录在案。
排版
排版是安排字体的艺术和技术,使书面语言清晰、可读且视觉上吸引人。它涉及选择字体、字号、行长、行距和字间距。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
- 关键元素包括字体选择、字距调整、字间距和行距。
- 良好的排版可增强可读性,并在设计中传达情绪或基调。

