微软在7月份的一篇题为“Storm-0558关键收购的主要技术调查结果”的文章中分享了与Outlook泄露相关的调查结果。

2023年7月，根据微软的调查结果报道称，来自Storm-0558 APT 组织的黑客入侵了欧洲政府电子邮件。他们通过使用伪造的身份验证令牌和获取的Microsoft 帐户(MSA)消费者签名密钥来实现此目的。微软现在已经透露了这次泄露是如何发生的。

1. 黑客从微软软件转储中窃取了签名密钥。
2. 该密钥用于伪造Outlook.com和Outlook Web Access的令牌。
3. 黑客获得了大约25个美国组织（包括政府机构）的电子邮件帐户的访问权限。
4. 微软已经修复了导致漏洞发生的错误。
5. 用户仍应保持警惕并采取措施保护自己的帐户。

周三，微软发布了一份事件事后分析报告，解释了威胁者Storm-0558如何获取MSA加密消费者密钥、伪造企业系统接受的Outlook.com和Outlook Web Access令牌并闯入美国组织帐户。

在那次违规事件中，间谍组织通过利用Microsoft云平台中的安全漏洞，访问了包括政府机构在内的约25个美国组织的电子邮件帐户。《华盛顿邮报》报道称，美国国务院官员和商务部长雷蒙多的电子邮件帐户在此事件中遭到入侵。

微软承认Storm-0558从2021年4月崩溃的软件转储中窃取了密钥。当计算机崩溃时，密钥被意外泄露，并且机器生成了崩溃转储报告。

“对敏感信息进行编辑的故障转储不应包含签名密钥。在这种情况下，竞争条件允许密钥出现在故障转储中，”报告中写道。

微软解释说，发生此错误时，由于软件缺陷，机器无法从文件中编辑密钥。它还承认转储一开始就不应该包含数字密钥。

微软指出，它始终隔离所有持有签名密钥的计算机，并且这些计算机不包含电子邮件或视频会议等多项基于互联网的关键服务。

然而，故障转储报告对其安全机制造成了影响，因为未编辑的文件会自动传递到连接互联网的Microsoft计算机，用于执行调试。

出现此问题的原因是Microsoft的系统未在故障转储中检测到该密钥的存在。此问题后来被Microsoft修复，并将转储从隔离的生产网络转移到“互联网连接的企业网络”上的调试环境，作为公司标准调试过程的一部分。

但这家Windows巨头仍在弄清楚威胁者是如何获得密钥的。该公司怀疑该组织可以访问已经受到威胁的微软工程师的公司帐户，该帐户提供了对存在故障转储的调试环境的访问权限。

值得注意的是，签名密钥不能用于黑客针对的企业帐户，因为它是为消费者微软帐户设计的。微软的失败在这里显而易见。

该公司没有更新关键软件库来自动验证消费者和企业帐户之间的密钥签名。其邮件系统开发人员认为，库执行了完整的验证，并且没有添加必要的颁发者/范围验证。这允许邮件系统使用使用该消费者密钥签名的安全令牌来接受企业电子邮件的请求。

然而，该公司声称，它现在已经修复了导致黑客实施违规行为的错误和流程，包括改进其检测系统并防止敏感数据被错误地添加到故障转储文件中。

需要理解的要点：
1. 签名密钥是用于签署电子邮件和其他Microsoft服务的数字证书。
2. 黑客能够从微软计算机崩溃时创建的软件转储中窃取密钥。
3. 该密钥本来不应包含在故障转储中，但软件缺陷允许将其包含在内。
4. 黑客使用该密钥伪造令牌，使他们能够访问Outlook.com和Outlook Web Access帐户。
5. 微软已经修复了允许密钥包含在故障转储中的错误。
6. 微软还更新了其系统，以防止敏感数据被错误地添加到故障转储文件中。