한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
Microsoft는 이메일 공격으로 도난당한 MSA 키를 계속 조사하고 있습니다.
마이크로소프트는 위협 행위자가 미국 정부 기관을 포함한 여러 고객의 이메일 계정을 침해한 계정 로그인 키를 어떻게 획득했는지 아직 조사 중이라고 밝혔습니다.
지난주 Microsoft는 Storm-0558이 스파이 목적으로 Exchange Online 및 Outlook.com의 Outlook Web Access(OWA)를 사용하여 이메일 계정을 침해한 것으로 추적하는 중국 기반 위협 행위자를 공개했습니다. Storm-0558 운영자는 액세스 권한을 얻기 위해 Microsoft 계정(MSA) 소비자 서명 키를 훔쳐 Azure AD(Active Directory) 기업 및 MSA 사용자가 Exchange Online 및 OWA 계정에 액세스할 수 있도록 토큰을 위조했습니다.
이 공격은 정부 기관을 포함하여 약 25개 조직에 영향을 미쳤으며 CISA의 권고를 받아 연방 민간 행정부 기관이 6월에 처음으로 의심스러운 활동을 감지했으며 해당 활동을 Microsoft에 처음으로 보고했습니다. CISA와 Microsoft는 지난주에 MSA 키가 도난당했음을 확인했지만 어떻게 도난당했는지는 밝히지 않았습니다.
Microsoft는 금요일 오후에 도난당한 MSA 키를 어떻게 획득했는지 회사가 알 수 없다는 업데이트를 발표했습니다. 그러나 Storm-0558의 기술은 Microsoft의 완화 조치로 인해 진압된 것으로 보입니다.
마이크로소프트는 블로그 게시물을 통해 "해커가 키를 획득한 방법은 현재 진행 중인 조사의 문제"라고 밝혔다. "Microsoft가 행위자가 획득한 MSA 서명 키를 무효화한 이후 키 관련 행위자 활동이 관찰되지 않았습니다. 또한 Storm-0558이 다른 기술로 전환하는 것을 확인했는데, 이는 행위자가 서명 키를 활용하거나 액세스할 수 없음을 나타냅니다. "
또한 마이크로소프트는 "마이크로소프트 코드의 유효성 검사 오류"로 인해 위협 행위자가 훔친 키를 사용할 수 있었다고 밝혔습니다. 이 오류로 인해 Storm-0558은 Azure AD 인증 토큰에서도 MSA 계정 전용 키를 사용할 수 있었습니다.
금요일 블로그에 제공된 또 다른 새로운 세부 정보는 도난당한 MSA 소비자 서명 키가 비활성 상태임을 보여주었습니다. 공격자가 이를 어떻게 사용하여 토큰을 위조할 수 있는지는 불분명합니다.
마이크로소프트는 더 이상의 논평을 거부했다.
Storm-0558의 액세스 ID 기술에는 API 사용이 포함되어 있어 기업에 지속적인 보안 문제를 제기합니다. 마이크로소프트는 공격자가 합법적인 클라이언트 흐름을 통해 액세스 권한을 얻기 위해 위조된 토큰을 활용한 후 Storm-0558 운영자가 6월 26일에 수정된 GetAccessTokenForResourceAPI의 결함을 악용했다고 밝혔습니다.
블로그 게시물에는 "공격자는 설계 결함으로 인해 이 API에서 이전에 발행된 액세스 토큰을 제시하여 새로운 액세스 토큰을 얻을 수 있었습니다"라고 밝혔습니다. "행위자들은 OWA API에서 메일 메시지를 검색하기 위해 토큰을 사용했습니다."
이러한 액세스는 Storm-0558이 이메일과 첨부 파일을 다운로드하고, 대화를 찾아 다운로드하고, 이메일 폴더 정보를 검색하는 데 도움이 되었습니다. 데이터 유출 범위는 여전히 불분명하지만 CISA는 정부 기관 계정에서 기밀 정보에 액세스하지 않았음을 확인했습니다.
마이크로소프트는 6월 29일에 키 교체를 완료했으며, 이를 통해 "위협 행위자가 이를 사용하여 토큰을 위조하는 것을 방지할 수 있다"고 밝혔습니다. 이후 실질적으로 업데이트된 시스템에서 새로운 서명 키가 발행되었습니다.
침해로 인해 Microsoft는 Exchange Online 및 Outlook 시스템을 기업 환경, 애플리케이션 및 사용자로부터 격리하는 수준을 높였습니다. 소프트웨어 대기업은 또한 주요 모니터링과 관련된 자동 경고를 늘렸습니다.
현재로서는 캠페인이 차단된 것으로 보이지만 Microsoft는 Storm-0558 활동을 계속 모니터링하고 있습니다.
Arielle Waldman은 보스턴에 거주하며 기업 보안 뉴스를 다루는 기자입니다.