总结

  • Storm-0558 并未攻破某联邦机构的密码控制。它利用微软消费者签名密钥制造看似有效的身份令牌,随后受益于微软验证缺陷,使这些消费者签名的令牌得以进入企业 Exchange Online 邮件。
  • 密钥获取路径仍未解决。微软 2023 年 9 月的崩溃转储解释后来被缩小为一个主要假设,此前该公司承认并未找到包含该密钥的崩溃转储或证明泄露的日志。过时的密钥、跨边界验证缺陷、薄弱的令牌异常检测以及有限的取证保留,是更有证据支持的失败发现。
  • 问责遵循控制能力。只有微软能够轮换平台密钥、修正服务端验证器、检测其云中不可能存在的令牌组合、保留相关内部证据并关闭攻击向量。客户可以改进监控和响应,但 2023 年关键的 MailItemsAccessed 遥测与高价的 E5/G5 许可绑定。

身份控制失败,而非常规邮箱入侵

Storm-0558 入侵事件容易浓缩为一句话:中国黑客窃取了微软密钥并读取了政府邮件。这句话方向正确但分析不足。它合并了攻击者的行为、微软未解决的材料丢失、单独的软件验证缺陷、过时密钥生命周期决定、客户端的检测成功以及服务提供商的响应于一个事件。一旦分离这些机制,责任分配就变得清晰得多。

该入侵并非主要由于政府雇员交出密码、机构未能部署多因素认证或部委内存在未打补丁的服务器。Storm-0558 拥有一枚 2016 年创建的微软账户 (MSA) 消费者签名密钥的私钥部分。私钥可让持有者生成令牌,其签名可对照对应的公钥验证。因此,攻击者可以无需获取受害者密码即可断言身份。第二个微软缺陷使得本应用于消费者账户的密钥能够对企业 Exchange Online 发起认证请求。结果是平台级别的冒充能力,跨越了微软消费者与组织身份系统之间的边界。

微软的2023 年 7 月技术分析解释了基本机制:攻击者利用获取的消费者密钥伪造 Azure Active Directory 令牌,使用合法的 Outlook Web Access 流程,通过 GetAccessTokenForResource 接口获得 Exchange Online 令牌,并通过 OWA API 检索邮件。微软表示,一个设计缺陷还允许攻击者通过提交该接口先前颁发的一个令牌来获取新的访问令牌。这不仅仅是窃取凭据的重放。这是对微软服务视为有效的凭据的未经授权的制造和更新。

这一区别对云问责至关重要。客户通常仍然负责其身份、设备卫生、权限、应用程序配置和事件响应。但客户无法检查或轮换云提供商的基础签名材料,修补提供商的令牌验证器,或在提供商的身份颁发平面内部署检测器。当失败源于仅提供商可用的控制时,将事件描述为共同责任问题而不指明谁控制哪个保障措施,会掩盖而非解释问题。

同样重要的是不要将事件错误分类为服务中断。公开记录未显示受影响机构的 Exchange Online 变得不可用。损害是保密性和可信通信的丧失,随后是大量的调查负担。公共部门连续性不仅仅是保持服务可达。外交、经济、立法和国家安全工作依赖于官员能够在对手不默默读取的情况下使用通信系统。云在技术上可以保持‘在线’,但其支持的公共功能变得不那么值得信任。

什么已确定、什么推断、什么未知

应保持三个证据类别分开。

首先,公开记录牢固地确定 Storm-0558 使用了微软创建的 2016 年 MSA 消费者签名密钥来伪造令牌;微软验证缺陷允许这些令牌访问企业 Exchange Online 账户;国务院通过增强的邮箱访问日志发现了可疑活动;微软通过一系列服务端变更缓解了已知技术。微软的披露、CISA 的响应建议、受影响机构的声明以及网络安全审查委员会 (CSRB) 的重构均在这些点上汇聚。

其次,网络安全审查委员会 (CSRB) 就可预防性、控制设计、安全文化、披露和行业实践做出了发现。其对 2023 年夏季入侵的全面审查得出结论,该事件是可预防的,绝不应当发生。委员会访谈了 20 个组织,获得了微软的合作,比较了其他主要云服务提供商的控制,并发现一连串可避免的失败。这些是独立审查发现,而非司法裁决,但远强于仅基于微软早期博客的评论。

第三,Storm-0558 实际获得 2016 年私钥的途径在公开记录中仍然未知。这一不确定性至关重要。微软在 2023 年 9 月发布了一个详细的崩溃转储故事,随后在 2024 年 3 月添加了更正,声明未找到包含受影响密钥材料的崩溃转储。CSRB 报告微软探索了 46 个密钥窃取假设,但仍不知道攻击者如何或何时获得密钥。任何将崩溃转储视为已证明根因的说法都夸大了证据。

公开记录也没有最终确定损失的法律分配。国会的审查、调查请求以及微软接受 CSRB 调查结果与问责相关。它们不能替代法院判决、机构执法决定、合同解释或量化损害赔偿分析。正确的结论更窄:微软控制了几个失败的保障措施,并接受了 CSRB 指出的问题的责任;现有来源未确立最终的民事、刑事或监管责任。

取证时间线

2016-2021:长寿密钥与延迟迁移

微软于 2016 年创建了消费者签名密钥。密钥的年龄本身并不证明不安全,但当组织无法自信地展示持续保管,且轮换限制了被盗材料的使用寿命时,密钥年龄就变得重要。CSRB 发现微软的消费者 MSA 系统依赖手动轮换,而其企业身份系统已转向自动化。公司计划将消费者系统迁移至自动化技术,但入侵前未完成。

据 CSRB,微软在 2021 年因与手动过程相关的一次重大云中断后停止了消费者签名密钥的手动轮换。当时未部署自动轮换替代方案或可通知负责团队有关老化活动密钥的警报。因此,2016 年的密钥在 2023 年仍然被接受。这是一个典型的可用性-安全决策,带有隐藏的递延成本:暂停风险手动程序可能降低即时中断风险,但留下未完成的补偿自动化则无限期地保留安全暴露。

委员会的发现比仅说一个‘过期’密钥仍然有效更有用。密钥根据服务的实时信任配置被接受或拒绝。关键的失败是一本应被撤销的密钥仍保留在信任集中。微软自身当前的签名密钥轮换指南指出应用程序应以编程方式处理定期和紧急轮换,并推荐标准库以避免细微缺陷。该指南描述了面向客户的验证行为,但基本原则更广泛:密钥替换必须是工程能力,而非脆弱的仪式,变得风险太大而无法执行。

2018 年 9 月,微软为满足同时服务消费者和企业用户的应用需求,引入了一个通用密钥元数据发布端点。微软后来的描述称文档已更新以解释密钥范围验证,但帮助库未自动更新以强制执行该范围。Exchange 邮件系统于 2022 年开始使用通用元数据端点。开发者假设库执行完整验证,未添加所需的颁发者或范围检查。因此,通用端点既增加了互操作性,也创建了信任边界风险:加密有效性被误认为在正确身份域内的授权。

CSRB 的重构将另一个相关事件置于 2021 年。Storm-0558 在 4 月至 8 月期间通过一名工程师的账户入侵了微软企业网络。该工程师曾在 Affirmed Networks 工作,微软于 2020 年收购了该公司;微软认为该设备在收购前已被入侵,随后使用企业凭据连接至微软环境。攻击者捕获并重放了身份验证令牌,访问了 SharePoint 中的材料,包括与 Azure 服务管理和身份相关的信息。委员会批评微软未能在允许受损收购设备进入企业网络前发现该漏洞。

这一 2021 年入侵是攻击者访问和兴趣的证据。它并不证明攻击者当时获得了 2016 年 MSA 密钥。微软告诉委员会,2021 年入侵很可能相关,因为这是记录中唯一另一已知的 Storm-0558 对微软网络的入侵,但公司未提供将其与密钥窃取联系起来的具体证据。严格的分析必须保留这一差距。

2023 年 5 月至 6 月:在提供商检测前访问开始

Storm-0558 于 2023 年 5 月 15 日前建立了已识别的外部基础设施并开始访问目标 Exchange Online 账户。CSRB 警告入侵窗口可能更早开始,因为微软标准的 30 天日志保留限制了调查开始后的回顾视野。因此,‘首次发现’是证据边界,不一定是攻击的真正开始。

目标反映了间谍活动优先级。CSRB 最终统计确定了全球 22 个组织和超过 500 个人,包括美国、英国及其他地区的受害者。账户包括商务部长 Gina Raimondo、美国驻华大使 R. Nicholas Burns、负责东亚和太平洋事务的助理国务卿 Daniel Kritenbrink 以及国会议员 Don Bacon。微软最初的7 月 11 日事件通知提及约 25 个组织及相关消费者账户。差异最好视为早期公司通知与后来独立重构之间的事件核算变化,而非新入侵的证据。

检测到该活动的是国务院,而非微软。6 月 15 日,国务院安全运营中心观察到了异常。6 月 16 日,一个内部称为 Big Yellow Taxi 的定制规则从 MailItemsAccessed 审计事件(记录对 Exchange Online 邮箱项目的访问)生成警报。国务院在考虑误报可能性的情况下进行了调查,并于当天联系了微软。到 6 月 19 日,国务院确定有六个账户被访问,包括与国务卿访华准备相关的账户。它识别出 6 月 21 日至 24 日期间另有六个账户被访问,并通过分析一台被扣押的虚拟专用服务器发现另一个账户。

日期显示发现和遏制与持续访问重叠。国务院的警报是检测成功,但并未立即揭示伪造的平台凭据。微软最初审查了熟悉的原因,如受损设备和窃取的正确颁发令牌。随后,其分析师看到 Exchange Online 身份验证工件与预期日志中的 Azure AD 令牌不对应。大约在 6 月 26 日,微软确定攻击者正在使用 2016 年消费者密钥创建对消费者和企业邮件均有效的令牌。

CISA-FBI 联合咨询 AA23-193A对缓解能力的分配异常直接。它表示所有针对此活动的缓解行动都是微软的责任,因为受影响的基础设施基于云。它还表示机构不知道其他可检测该活动的审计日志或事件。客户端检测到了事件,但只有提供商能关闭该技术。

6 月 26 日至 7 月 3 日:分阶段缓解,而非单一开关

微软的详细时间线记录了几项不同行动:

  • 6 月 26 日,OWA 停止接受由 GetAccessTokenForResource 为续期颁发的令牌,关闭了攻击者滥用的续期行为。
  • 6 月 27 日,微软阻止了 OWA 使用被获取的 MSA 密钥签名的令牌,防止了通过观察到路径进一步访问企业邮件。
  • 6 月 29 日,微软完成了密钥替换,撤销了事件期间有效的所有 MSA 签名密钥,并从强化系统颁发了新密钥。
  • 7 月 3 日,微软阻止了对受影响消费者客户使用该密钥,以防止使用先前颁发的令牌。

该序列表明为何‘密钥已被撤销’不是对遏制的充分描述。伪造令牌活动可能涉及缓存的验证元数据、下游访问工件、续期接口、消费者和企业服务以及已颁发的令牌。持久遏制需要映射旧信任决策存活的每个地方。

微软表示观察到 Storm-0558 在已知令牌伪造路径被阻止后转向钓鱼和其他技术,并且未发现进一步与密钥相关的活动。这支持了即时缓解措施针对观察方法的有效性。它并不证明原始获取路径已被识别,或攻击者从未获得其他敏感材料。CSRB 明确表示访问其他密钥和数据的可能性仍未解决。

2023 年 7 月至 2024 年 3 月:披露、日志改革及修正的根因声明

微软于 7 月 11 日公开披露了该活动,并于 7 月 14 日发布了更深入的技术分析。其早期帖子正确描述了密钥滥用和验证错误,同时表示密钥获取仍在调查中。7 月 19 日,与 CISA 协调后,微软宣布详细邮件访问日志及 30 多种其他审计事件类型将免费向标准级客户提供。公司还表示 Audit Standard 的默认保留期限将从 90 天增至 180 天。微软的日志公告是一项重要响应,因为它改变了谁能看到检测提供商起源滥用所需的证据。

9 月 6 日,微软发布了所谓其主要技术调查的结果。最初的说法称,2021 年 4 月消费者签名系统崩溃产生了崩溃转储;一个竞态条件将密钥置入了转储;转储从隔离的生产环境转移到了连接互联网的企业调试环境;凭据扫描仪未能发现它;Storm-0558 后来入侵了一个有权访问该环境的工程师账户。由于相关日志已老化,微软称这是最可能的获取机制。

该叙事提供了一个连贯的链条,但链条缺乏直接证据支持。微软的版本化 9 月报告现在以 2024 年 3 月 12 日的更新开头。公司表示其主要假设仍然是操作错误导致密钥材料离开安全签名环境,并且材料通过一个受损的工程账户被访问。它还表示未找到包含受影响密钥的崩溃转储,所引用的竞态条件影响的是转储是否可能离开签名环境,而非密钥材料是否可能存在,并且当时删除此类材料并非标准流程但未被禁止。

更正改变了该叙述的认识论地位。合理假设不是根因发现。CSRB 报告微软在 2023 年 11 月告诉委员会,其在发表后不久就意识到 9 月声明不准确,但直到 2024 年 3 月才在委员会反复询问后发布了更正。这一延迟成为委员会安全文化发现的一部分,因为客户使用根因披露来判断实际获取路径是否已被关闭。

根因、触发因素与检测失败

事件分析在分离触发因素与根因以及检测与响应失败时更精确。

触发因素

操作触发因素是 Storm-0558 使用被盗的 2016 年 MSA 私钥创建令牌并通过 Exchange Online 访问路径呈现。攻击者选择了目标、运营基础设施、创造成果、访问邮件并窃取消息。攻击者对此恶意入侵负责。归属到一个与中华人民共和国相关的间谍活动者是微软和 CSRB 报告的情报评估;本文不独立归因国家指挥。

技术根因与促成条件

第一个根因问题,私钥如何脱离微软控制,尚未解决。应将其记录为公开未解事实,而非填充崩溃转储假设。

第二个原因已有更好证据:旧密钥仍被信任。2021 年中断后消费者密钥手动轮换停止,自动替代方案未就绪,且无有效的过期警报强制解决。窃取短期或及时轮换的密钥会产生更小的机会。窃取一枚被接受多年的密钥则产生持久的签名能力。

第三个原因是令牌验证范围失败。服务检查了通过通用元数据可用的密钥材料的签名,但未充分证明密钥的身份域被授权请求企业资源。微软当前的访问令牌验证文档指示资源服务器验证令牌签名、受众、颁发者、租户和签名密钥颁发者。Storm-0558 案例表明这些检查并非冗余。数学上有效的签名回答了谁持有私钥;它本身不回答该密钥是否被授权用于此租户、账户类别、服务或资源。

第四个原因是 OWA 令牌续期设计缺陷。一旦伪造身份通过合法流程被接受,GetAccessTokenForResource 允许一个令牌获取另一个令牌,微软后来更改以区分 Azure AD 和 MSA 颁发。这并未创建原始签名能力,但使访问路径更有用和持久。

第五个促成条件是不充分的提供商端异常检测。微软表示攻击者的令牌模式在回顾中显而易见,因为没有合法微软系统以该组合签名令牌。但提供商在客户报告邮箱行为之前未对这种不可能或高度异常的状态发出警报。CSRB 发现其他云提供商拥有微软缺乏的控制,并建议提供商在令牌生成算法和验证信号中使用专有数据,以检测即使签名验证通过的伪造断言。

检测与响应失败

检测依赖于一个拥有高级许可的客户、自定义分析、熟练操作员以及愿意追踪此前曾产生误报的中等警报的意愿。这是一个令人印象深刻的国务院控制。它也是一个不稳定的全系统安全模型。数千客户不能期望从可选的邮箱事件中重建提供商的加密入侵,尤其是此活动所需的事件对标准许可用户不可用时。

当时,MailItemsAccessed 通过 Microsoft Purview Audit Premium 可用,需要 E5 或 G5 许可。国务院拥有 G5 并可以创建 Big Yellow Taxi。其他没有高级日志记录的受害者缺乏相同的历史视野。因此,CISA 和 FBI 的咨询敦促组织启用高级日志记录,同时明确说明许可要求。七天后,微软承诺移除关键事件类型的层级壁垒。CISA 主任 Jen Easterly 在CISA 7 月 19 日声明中将这一变化描述为向安全设计实践迈出的一步。

响应也受到提供商证据保留的限制。微软没有确定密钥如何或何时被盗所需的日志。30 天窗口限制了最早可观察的客户活动,而 2021 年假设所需的旧企业和生产事件不可用。日志保留总是带有成本、隐私和访问控制义务,但如果其证据视野短于复杂行为者可能保持沉默的时间,提供商不能可信地声称保护加密皇冠明珠。

最后,9 月因果叙述的延迟更正是响应失败。它并未促成原始入侵,但损害了公众信心。事件后报告应区分事实、评估假设、置信度、矛盾证据和未解决问题。发布看似完整的机制并在六个月后才更正如是,使客户和监管者更难判断补救措施是否解决了实际路径。

日志与许可问题

日志有时被视为辅助产品功能。在此事件中,它是一个安全控制和一个信息不对称来源。

微软拥有任何客户都无法获得的全局遥测和内部身份系统可见性。每个客户只能观察其租户及其订阅和配置中包含的事件类型。决定性的警报来自 MailItemsAccessed,这是一个旨在显示何时访问邮箱项目的事件。CISA 和 FBI 表示,他们不知道其他可以检测此活动的审计事件。没有此事件的客户仍然可能注意到上下文迹象,但缺乏相同的直接证据表面。

这造成了一个有问题的商业界限。高级安全产品可以合理地对高级分析、自动化、长期保留和托管调查收费。了解供应商运营的服务是否访问了客户数据所需的最低证据不同。当提供商单独控制系统,而客户必须额外付费以观察由提供商自身身份失败导致的访问时,客户被要求购买对其无法直接修复的风险的可见性。

事件后的变化认识到这一区别。微软承诺在全球范围内免费提供更广泛的云安全日志,将详细邮件访问事件添加到 Audit Standard,并将默认标准保留期限翻倍至 180 天。2024 年 2 月,CISA、管理与预算办公室、国家网络总监办公室和微软宣布,无论层级如何,所有使用 Purview Audit 的联邦机构都将获得扩展日志记录,并自动启用和更长的默认保留期限。联合实施公告将免费无需配置的高质量审计日志框定为安全设计期望。

改革并未消除客户责任。日志必须路由到可搜索系统,根据风险和法定要求保留,建立基线,查询并连接到响应流程。CISA 的咨询正是推荐这些措施。但客户操作纪律仅在提供商发出相关事件并使其可访问后才变得有意义。遥测可用性和遥测使用是两个由不同方拥有的独立控制。

许可还影响了受害者之间的取证平等。国务院的 G5 环境比标准层级环境拥有更强的历史记录。事件后启用事件并不能重构从未记录的内容。这意味着相同的提供商失败可以根据客户的订阅产生关于影响的不同置信度水平,尽管两个客户都不控制底层签名密钥。因此,最低取证证据应作为服务安全基线的一部分,而不仅仅是追加销售。

联邦客户影响与公共部门连续性

入侵影响了非机密邮件,但‘非机密’并不意味着操作上微不足道。高级官员的邮箱包含日程、政策审议、联系人网络、谈判立场、草稿语言以及政府日常的连接组织。情报机构可以从汇总、时间、关系和背景中推导价值,而无需获得正式机密文件。

国务院后来表示,从 10 个账户下载了约 60,000 封电子邮件。在其2023 年 9 月 28 日新闻发布会上,该部门描述受影响材料为未分类,并表示没有机密邮件系统被黑客入侵。CSRB 更广泛的重构识别出更多被访问的国务院账户,反映了计算账户访问的不同方式以及从中下载消息的子集。本文不推断消息内容超出机构披露的范围。

据 CSRB,商务部长 Gina Raimondo 的官方和个人邮箱均受影响。美国众议院也在受影响集合内,包括国会议员 Don Bacon。2023 年 8 月,众议院监督调查要求国务院和商务部就发现、影响、响应和未来安全进行简报。这些事实确立了敏感的公共部门暴露和监督担忧;它们并未确立特定政策决定因入侵而改变。

在此背景下,连续性至少包括五个维度。

首先是保密性连续性:官员需要持久期望,日常云通信不会被外国情报行为者悄悄复制。

第二是决策连续性:准备外交访问或经济政策的团队必须在不必假设对手同时访问其邮件的情况下进行讨论。

第三是证据连续性:机构需要足够保留的数据以重构谁在何时访问了什么。没有它,领导者无法自信地界定事件或决定哪些关系和决策需要重新验证。

第四是响应连续性:提供商入侵迫使机构转移安全、法律、外交、记录和领导能力。即使邮件保持可用,任务工作也会吸收隐藏的事件响应税。

第五是信任连续性:联邦采用共享云服务依赖于确保提供商将检测其自身控制平面中的失败,准确披露,并向客户提供可用证据。服务可以达到可用性目标,但未能通过这一更广泛的连续性测试。

事件还暴露了集中风险。微软为大部分政府和私营部门提供身份、邮件、生产力、操作系统、安全和云服务。集成可以改善管理和检测,但也可以使一个提供商端身份缺陷跨越组织边界全球扩展。CSRB 将微软的中心地位描述为要求最高安全、问责和透明度标准的原因。

集中并不自动导致每个机构应放弃微软或维护重复邮件系统的结论。迁移本身产生成本和风险,多个提供商可能复制相似的身份弱点。更强的结论是采购和监督必须明确计价共模身份失败:密钥分割、提供商端异常检测、审计访问、证据保留、事件通知、独立测试以及退出或连续性安排应作为服务要求。

CSRB 的发现及其重要性

CSRB 的发布页面将该报告描述为对运营和战略决策的独立审查,并表示其推荐业界和政府的实践。其核心发现严厉但具体。

委员会得出结论,微软的安全文化不充分且需要彻底改革。这一结论基于可避免的连锁事件、检测关键签名密钥入侵的失败、依赖客户发现、与其他提供商控制的比较、2021 年收购设备入侵、不准确公开声明的延迟更正,以及此审查范围之外的单独 2024 年国家行为者入侵。该发现是组织性的,因为没有单一的编码错误解释为何密钥仍被接受、域分离为何失败、不可能的令牌模式为何未触发警报、证据为何不可用以及因果声明为何比证据更早。

委员会还提供了具体的反事实。如果手动轮换未在未完成自动替代时暂停,或若过期密钥警报强制行动,2016 密钥不会在 2023 年仍然有效。如果消费者和企业验证被正确分离,攻击者的范围将更窄且不包括企业客户。如果微软检测到不符合自身生成算法的令牌,该活动可能被阻止或提供商端检测到。如果存在更强的取证保留,微软可能回答了密钥获取问题。

这些反事实展示了分层安全原则。入侵不需要每项控制以相同方式失败。几项独立控制中的任何一项都可能阻止企业入侵或实质上缩短它:

  • 安全保管可以防止密钥丢失。
  • 频繁自动轮换可以使被盗密钥在 2023 年前无法使用。
  • 范围感知验证可以将消费者密钥限制于消费者服务。
  • 有状态或专有令牌检查可以检测微软自身绝不会颁发的令牌。
  • 提供商级监控可以揭示不可能的签名域组合。
  • 基本客户日志可以让更多受害者检测和界定访问。
  • 更长的提供商保留可以提高根因信心。

这就是未解决的窃取路径不妨碍问责分析的原因。未知很重要,但几个独立充分或限制影响的失败已被记录。提供商不能通过将整个链条视为不可知来回应缺失的根因链接。

委员会的建议超出了微软。它们呼吁现代密钥管理实践、自动化频繁轮换、硬件保护密钥、通用身份验证库、更强数字身份标准、最低客户日志无附加费用、至少六个月的适当客户可访问日志、更好的受害者通知以及更透明的云漏洞披露。这些措施针对一个提供商持有特权控制和最佳证据的产业结构。

微软的响应

微软的即时响应纠正了已知验证器和续期缺陷,阻止了被盗密钥,撤销了当时活跃的 MSA 签名密钥,将消费者密钥转向强化企业密钥存储,增加了隔离并完善了密钥系统监控。这些行动直接针对观察到的活动。微软还通知了受影响组织并发布了基础设施指标供防御者使用。

公司随后通过扩展审计访问做出了商业控制变更。该行动在产品承诺和联邦推广中独立可观察,尽管事件覆盖的实际完整性仍取决于服务、配置、保留和客户操作。

2023 年 11 月,微软发起了安全未来倡议 (SFI)。其初始 SFI 公告承诺使用机密计算和硬件安全模块构建统一、完全自动化的消费者和企业密钥管理系统,其架构设计即使底层流程受损也能保持密钥不可访问。伴随的工程帖子承诺高频自动轮换且无人为访问。

在 CSRB 报告和另一次俄罗斯国家入侵微软企业邮件后,公司于 2024 年 5 月扩展了 SFI。微软的扩展计划设定了目标,包括签名密钥的快速自动轮换和硬件保护、跨应用程序的标准身份 SDK、身份令牌的有状态持久验证、更细的密钥分区、消除横向身份转移、安全日志的两年保留以及客户六个月适当日志。它还表示高级领导薪酬的一部分将取决于安全里程碑。

2024 年 6 月,微软副主席兼总裁 Brad Smith 向众议院国土安全委员会作证,表示公司接受了 CSRB 报告指出的所有问题的责任。他的书面证词说微软正在执行委员会适用于公司的所有 16 项建议,已投入相当于 34,000 名全职工程师的 SFI 团队,正在将消费者和企业身份系统过渡到硬件支持密钥管理系统,并在自动轮换、通用身份验证库和令牌验证信号方面取得了进展。国会听证记录提供了公共监督背景和提问。

到 2024 年 9 月,微软报告了网络安全治理委员会、工程部门副首席信息安全官、员工绩效审查中的安全以及定期执行和董事会审查。公司的SFI 进展更新是治理变革和既定实施进展的证据。

这些响应是重大承诺。在独立验证尚未公开的情况下,它们仍应被描述为承诺和公司报告进展。CSRB 推荐了具体架构和控制,但未证明其后来完成。可信的关闭标准需要可衡量的密钥轮换覆盖、遗产验证器已退役的证据、证明消费者和企业边界在失败时保持关闭、足够调查密钥事件所需的保留遥测,以及异常无法悄然持续的外部保证。

按控制能力的问责

有用的问责图从谁能够防止、检测、限制或缩短每项失败开始。

微软控制密钥生成、存储、轮换、撤销和生产信任集。它控制通用元数据架构、帮助库、Exchange Online 验证器、OWA 令牌续期接口及全局检测逻辑。它控制内部生产和企业证据保留。它还控制公开技术披露的准确性和时机。这些方面的责任主要归于微软。

国务院控制其租户监控、自定义警报逻辑、分类、升级以及与 CISA 和 FBI 的协调。它有效执行了这些任务,足以发现提供商级别入侵。其他客户在其可用遥测范围内控制其监控和响应。客户责任仍然真实存在,但无法替代客户无法看到或更改的提供商控制。

CISA、OMB 和机构采购官员控制联邦基线的部分:日志要求、配置指南、合同期望、跨机构协调以及要求更安全默认值的杠杆。他们事件后的日志工作减少了不平等。成熟的采购制度不应依赖危机来确立客户需要访问邮箱访问证据。

Storm-0558 控制敌对操作并对入侵承担责任。这一明显事实并不消除可预防性。安全调查通常审查为何恶意或有风险输入达到受保护系统,尽管行为者有过错。归因和防御问责回答不同问题。

公司董事会和高管控制资源分配、风险接受、激励和截止日期。中断后手动密钥轮换的暂停不仅仅是孤立的工程错误;安全后果持续存在,因为自动化和警报未获得或维持足够优先级。微软后来决定将领导薪酬与安全里程碑挂钩,隐含承认相关控制水平高于编写验证器的团队。

该分配不应机械地转化为法律责任百分比。合同、主权豁免、损害赔偿、因果关系、披露义务和监管管辖权各异。参议员 Ron Wyden 在2023 年 7 月的要求中请司法部、联邦贸易委员会和 CSRB 调查微软的做法。该请求是监管关注的证据,而非所请求机构达成执法决定的证据。这里使用的公开记录未确定 Storm-0558 的最终法律裁决。

持久补救应证明什么

只有在观察到 2016 年密钥技术方面,事件才应被视为操作上关闭。在补救能够在几个维度上被证明前,更广泛的保证问题仍开放。

密钥保管与生命周期

微软应能证明消费者和企业签名密钥在硬件保护系统内生成和使用,无法导出至调试或通用企业环境,以其权力相应的频率自动轮换,并在年龄或政策例外超过限制时生成可操作警报。紧急轮换应在不导致导致 2021 年暂停的那类中断的情况下执行。密钥分割应减少单个密钥暴露的租户、服务和账户类别的数量。

验证正确性

每个依赖服务应使用经批准的库验证签名、颁发者、受众、租户、账户类别、密钥颁发者、生存期和服务特定授权。微软的OpenID Connect 文档说明发现元数据暴露提供商端点和公钥;它并不使每个列出的密钥对于每个资源可互换。一致性测试应有意图呈现正确签名但错误范围的令牌并验证拒绝。

超越无状态签名的防伪能力

仅签名的持有者令牌在签名密钥被盗后仍可保持令人信服。有状态验证、证明持有方法、专有颁发标记、有限生存期和快速撤销可降低此风险。目标不是放弃标准,而是确保一个密钥的持有不会创建不可观察的全局权限。

提供商与客户遥测

提供商应检测整个服务中不可能的令牌组合,并保留内部证据足够长以支持长期活动。客户应默认接收邮箱访问和身份事件,无需高级付费,以可记录架构提供以便导出到独立分析工具。CSRB 推荐并作为 SFI 目标采纳的六个月客户可访问日志应作为高价值云身份活动的最低标准,而非理想上限。

事件沟通

技术披露应包含版本历史、置信水平和明确未解决的问题。当已发布假设失去证据支持时,更正应迅速且突出。提供商不应需要监督机构反复询问不准确的根因说明是否会修正。

独立保证

公司进度报告有用,但对于具有公共部门依赖的控制平面而言不足够。联邦客户需要能够在不泄露机密的情况下测试轮换、密钥隔离、验证器覆盖、警报性能和取证保留的保证机制。关键在于发表敏感架构,而是证明所陈述控制在生产中运行,包括遗留系统和收购环境。

云客户与公共采购者的实用教训

客户无法修复提供商的签名系统,但他们可以使依赖关系更可管理。

首先,采购证据而不仅仅是功能。合同和服务基线应识别哪些访问、身份、管理、令牌和邮箱事件可用;它们到达多快;它们保持可搜索多久;以及客户是否可以导出它们。应在事件前使用模拟事件测试日志。

第二,围绕数据访问以及登录构建分析。伪造令牌可能绕过防御者期望来自密码窃取的异常。MailItemsAccessed 之所以重要是因为它观察了受保护的操作,而不仅仅是认证仪式。高价值环境应建立异常邮箱访问、应用程序标识符、地理位置、客户端行为和访问量的基线。

第三,维护假设提供商可能成为事件一部分的升级路径。租户团队应知道如何联系提供商的安全响应组织、CISA 或相关国家当局、执法部门和执行领导,而无需依赖可能受损的邮件渠道。

第四,将身份集中视为连续性风险。买方应知道哪些关键服务共享身份根、提供商级密钥入侵可能波及何处,以及在云信任重建期间哪些功能可以继续。这可能证明分割、独立管理身份、独立日志存储或对最敏感工作负载的选择性多样性是合理的。

第五,测试提供商的通知和证据承诺。通知‘受影响客户’的承诺仅与提供商识别它们的能力同样有用。在 Storm-0558 中,只有微软能识别大多数受害者,因为伪造令牌在其服务内部操作。这使得提供商级遥测和及时外展成为客户检测架构的一部分。

最后,不要将共同责任与同等能力混淆。客户应保护他们控制的内容。提供商应对提供商独占控制负责。监管者和买方应关注它们之间的边界,因为那里是安全要求最可能变得模糊、可选或货币化的地方。

评估

Storm-0558 Exchange Online 入侵是一起可预防的云身份失败,具有未解决的初始密钥获取路径。公开证据支持高信心发现,即微软允许旧的消费者签名密钥继续被信任,未能执行消费者与企业令牌验证之间的边界,缺乏足够的提供商端检测来识别自身系统不会颁发的令牌组合,并保留了太少证据以重建密钥泄露。它还支持发现,付费客户日志在很大程度上决定了谁能检测和调查该活动。

微软的响应解决了观察到的访问路径,后来扩展到密钥管理、验证、日志、治理和激励改革。Brad Smith 接受 CSRB 调查结果意义重大。移除核心事件的日志付费壁垒以及转向硬件支持自动轮换也是如此。剩下的问责问题是这些变化是否完整、持久且可在微软遗留和当前身份基础设施上独立验证。

该事件的更广泛教训并非云服务本质上不如客户操作的系统安全。大型提供商可以部署大多数客户无法达到的规模的控制、情报和补救。教训是规模也集中隐藏的权限。当单个签名密钥和一个验证错误可以影响全球组织时,安全取决于提供商的内部密钥纪律以及客户自身无法生成的证据。

因此,公共部门连续性需要对服务可靠性有更广泛的定义。可用性是必要的,但保密性、可信身份、可重构证据、及时披露以及在提供商侧入侵后恢复信任的可信路径也是必须的。Storm-0558 让 Exchange Online 继续运行。它仍然破坏了政府使用它的前提。这就是为什么该事件应作为云问责失败而非仅仅是另一次成功间谍行动记录在案。