微软因收取额外费用访问安全日志而受到批评
关键要点
微软因对客户收取额外费用以访问安全日志而遭到批评,此次事件涉及一个中国黑客组织入侵多个机构的电子邮件账户。政府机构,包括美国国家安全部门,成为攻击目标。微软确认攻击者使用伪造的身份认证令牌访问微软365账户。采用E3套餐的客户无法访问邮件访问日志,而这些日志是E5和G5套餐附加功能的一部分。政府官员对微软收费模式表示不满,并希望安全日志的访问不应额外收费。近期,微软的云服务客户因被迫额外付费以访问安全日志而遭到批评。这一事件源自于一个中国黑客组织对来自超过二十个组织的电子邮件账户的入侵,这些组织中包括多个美国政府机构。被攻击的机构报告称,涉及的包括美国国务院和商务部,其中涉及的邮箱包括商务部长吉娜雷蒙多Gina Raimondo的邮箱。
海外加速器npv据微软称,发动攻击的黑客组织被定性为Storm0558,该组织利用伪造的身份认证令牌,通过Outlook Web Access和Outlookcom访问微软365M365账户。这一事件于7月11日首次被披露,微软随后在上周五提供了更为详细的事件报告。微软表示已完成对所有客户的攻击缓解工作,仍在调查攻击者如何获得伪造的令牌。
收费模式引发质疑
Volexity的总裁史蒂文阿戴尔Steven Adair在推特上表示,他的安全公司与一处受影响的组织合作,尽管微软已通知有关未授权访问事件,但“我们没有找到任何证据来 corroborate。”
他指出,日志访问的缺失是由于该客户使用的M365 E3套餐。虽然微软的“MailItemsAccessed”操作记录了电子邮件访问攻击,但对持有E3许可证的客户来说,该日志通常不可用,而只有更贵的E5和G5套餐才会提供这些额外的日志功能。
位于都柏林的独立安全顾问布赖恩霍南Brian Honan透露,首先检测到Storm0558攻击的组织仅因为订阅了E5计划才能发现这一事件。他表示:“微软和其他云服务提供商需向客户提供安全日志的访问,而不能将其作为额外收费的功能。”
俄勒冈州民主党参议员罗恩威登Ron Wyden在声明中表示,这些额外收费类似于“卖出了汽车后再单独收费提供安全带和气囊。”
微软发言人向CyberScoop表示,该公司正在“评估反馈”,并对其他收费模式持“开放态度”。
关键访问仍然悬而未解
在对这一攻击的分析中,微软指出,Storm0558早在今年5月15日便开始利用伪造的身份认证令牌访问用户电子邮件。从2023年6月16日确认这一恶意活动以来,微软已识别出根本原因,建立了有效的跟踪机制,打击敌对活动,加强了环境安全,通知了所有受影响的客户,并与多个政府实体协调。
该攻击者的技术手段与专注于间谍活动的对手相一致,虽然微软注意到与其他中国黑客组织如紫色台风,亦称Zirconium或APT31存在一些轻微重叠,但似乎Storm0558是一个独立的组织。
“历史上,该攻击者对媒体公司、智库以及电信设备和服务提供商表现出关注。Storm0558行动的主要目标是获取对受害组织员工电子邮件账户的未授权访问。”
根据微软的帖子,Storm0558获取了一个不活跃的微软账户MSA消费者签名密钥,并利用它伪造了Azure AD企业和MSA消费者的身份认证令牌,以访问OWA和Outlookcom。微软表示:“该攻击者获取密钥的方法仍在调查中。”
“监测结果显示,所有与此次事件相关的攻击活动均已被封锁。微软将继续监控Storm0558的活动,并为客户实施保护措施。”
