微软详细说明中国黑客如何获得Outlook漏洞的签名密钥

微软表示，他们已经揭开了疑似中国黑客如何获得数字签名密钥的谜团，以实现7月份导致多个美国政府机构陷入困境的Outlook入侵事件。

根据微软的说法，该密钥是在2021年4月持有该密钥的公司电脑崩溃时意外泄露的。在错误期间，机器生成了崩溃转储报告，由于软件错误，该报告无法从文件中编辑密钥。

微软补充说，拥有这样的签名密钥的公司电脑是“高度隔离的”，并已被剥夺了各种互联网服务，如电子邮件和视频会议。然而，崩溃转储报告最终在安全方面打开了一个漏洞。未经编辑的文件被自动传递到一台专门进行调试的微软电脑上，这台电脑恰好也连接了互联网。

这为中国黑客在侵入一名微软工程师的公司账户时窃取数字密钥铺平了道路，尽管目前尚不清楚这是如何发生的。

该公司在周三的报告中表示：“这个账户有权访问包含崩溃转储的调试环境，该环境错误地包含了密钥。”由于日志保留策略，我们没有包含此参与者此次外泄的特定证据的日志，但这是参与者获取密钥的最有可能的机制。

窃取密钥后，可疑的中国黑客就可以伪造身份验证令牌，访问微软Outlook服务上的客户电子邮件。话虽如此，签名密钥最初是为消费者微软账户设计的，而不是黑客攻击的企业Outlook账户。

问题是，微软忽视了更新软件库，以自动验证消费者和企业账户之间的关键签名。“邮件系统中的开发人员错误地假设库执行了完整的验证，而没有添加所需的颁发者/作用域验证，”微软表示。因此，邮件系统将接受使用使用消费者密钥签名的安全令牌的企业电子邮件请求。

微软发布这份报告之际，该公司因未能阻止Outlook入侵而受到批评。今年7月，参议员罗恩·怀登(Ron Wyden)敦促司法部和联邦贸易委员会对微软进行调查，称该公司存在“疏忽的网络安全行为”，将其客户置于危险之中。

例如，Wyden指责微软的内部和外部审计未能发现密钥签名漏洞。与此同时，其他网络安全专家也加入了进来，指责微软试图转移对该公司过去错误的指责。

根据微软的报告，自那以后，该公司已经清除了允许中国黑客策划入侵的漏洞和流程。这包括加强该公司的检测系统，以防止敏感材料被错误地添加到崩溃转储文件中。但时间会告诉我们，该公司的报告是否会进一步加剧对微软安全措施的批评。