微軟發現中國駭客非法存取歐美政府組織的電子郵件帳號

微軟本周揭露，該公司發現一源自中國的駭客組織Storm-0558自今年5月中開始，利用所獲得的一個微軟帳號（MSA）消費者簽章金鑰來偽造身分認證權杖，以存取使用Outlook Web Access in Exchange Online（OWA）及Outlook.com的電子郵件用戶，估計約影響歐美地區的25個政府組織，以及與這些組織有關的個人。

微軟是在今年6月中旬收到美國聯邦文職行政部門（Federal Civilian Executive Branch，FCEB）的通知之後才展開調查，當時FCEB在該機構所使用的Microsoft 365雲端服務中，有可疑的AppId存取郵件信箱，於是主動通報微軟與美國網路安全暨基礎設施安全局（CISA）。

根據微軟的解釋，MSA（消費者）金鑰及 Azure AD（企業）金鑰是由不同的系統發行與管理，而且應該只在各自的系統上有效，但駭客利用一個權杖驗證問題來假冒Azure AD用戶以存取企業郵件，目前尚無跡象顯示有任何Azure AD金鑰或其它的MSA金鑰遭到駭客利用。

此外，此一MSA金鑰及偽造的權杖也只被用來攻擊OWA與Outlook.com，並未有其它服務受駭。

在查明原因後，微軟改善了MSA金鑰管理系統的安全性，置換了該金鑰，並封鎖了所有以該金鑰簽署的權杖。

Storm-0558的目的在於間諜活動、竊取資料與憑證，與6月初造成Outlook.com當機的事件不同。6月的攻擊是由另一駭客組織Storm-1359所主導，主要發動DDoS攻擊，不僅影響Outlook.com，亦波及了Microsoft Teams、SharePoint Online與OneDrive for Business等微軟服務。