在最近中国黑客入侵美国政府机构使用的 Microsoft Exchange 帐户后,国土安全部网络安全审查委员会 (CSRB) 宣布计划对云安全实践进行深入审查。
CSRB 是公共和私营部门的合作组织,成立的目的是进行深入调查,以更好地了解关键事件、找出根本原因并就网络安全提出明智的建议。
在这种情况下, CSRB 将探索 政府、行业和云服务提供商 (CSP) 如何加强云中的身份管理和身份验证,并为所有利益相关者制定可行的网络安全建议。
这些建议将转发给 CISA 和现任美国政府,由他们决定必须采取哪些行动来保护政府系统和账户。
美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 表示:“各类组织越来越依赖云计算为美国人民提供服务,这使得我们必须了解该技术的漏洞”
“云安全是我们一些最关键系统的支柱,从我们的电子商务平台到我们的通信工具再到我们的关键基础设施。”
Storm-0558 攻击 Microsoft Exchange
2023 年 7 月中旬, 微软报告 称,一个被追踪为“Storm-0558”的中国黑客组织使用窃取的微软消费者签名密钥中的伪造身份验证令牌,入侵了包括美国和西欧政府机构在内的 25 个组织的电子邮件帐户。
使用这个被盗的密钥,中国威胁行为者利用 Exchange Online (OWA) 中 Outlook Web Access 的 GetAccessTokenForResource API 函数中的零日漏洞来伪造授权令牌。
这些令牌允许威胁行为者冒充 Azure 帐户并访问众多政府机构和组织的电子邮件帐户,以监控和窃取电子邮件。
在这些攻击之后,微软因没有免费向微软客户提供足够的日志记录而面临很多批评。相反,微软要求客户购买额外的许可证来获取有助于检测这些攻击的日志数据。
在与 CISA 合作确定检测攻击所需的关键日志数据后, Microsoft 宣布 他们现在免费向所有 Microsoft 客户提供该数据。
微软撤销了被盗的签名密钥并修复了 API 缺陷,以防止进一步滥用。尽管如此,他们对该事件的调查 未能准确揭示 黑客最初是如何获取密钥的。
在最初发现漏洞两周后,Wiz 研究人员报告称,Storm-0558 的访问范围比微软之前报道的要广泛得多,包括与微软 OpenID v2.0 一起运行的 Azure AD 应用程序。
Wiz透露 ,中国黑客可能使用泄露的密钥来访问各种微软应用程序以及任何支持微软帐户身份验证的客户应用程序,因此该事件可能不仅限于访问和窃取来自Exchange服务器的电子邮件。
考虑到违规行为的严重性、所需的广泛调查工作以及迄今为止尚无定论的调查结果,美国政府已责成 CSRB 对此案进行全面审查,希望它能够提供见解,为用户、维护者和维护者提供支持。服务提供商应对未来的威胁。
CSRB 过去的审查包括 2021 年Log4j 软件中的一系列影响广泛的 漏洞 以及 Lapsus$ 的活动,Lapsus$ 是一个黑客组织,擅长使用 SIM 交换和社会工程等简单而高效的技术入侵财富 500 强公司。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 美国网络安全委员会将分析 Microsoft Exchange 黑客攻击政府电子邮件事件
