重大失误！被黑客入侵的 Microsoft 测试帐户被分配了管理员权限

一名研究人员表示，最近闯入Microsoft网络并监控高管电子邮件两个月的黑客是通过访问一个具有管理权限的老化测试帐户来实现的，这是该公司的一大失误。

Microsoft网络通过俄罗斯国家黑客的密码喷洒遭到破坏

新的细节是以措辞含糊的语言提供的，包含在周四发布的帖子Microsoft中。它扩展了上周五晚些时候发布的披露Microsoft。Microsoft说，俄罗斯国家黑客使用一种称为密码喷射的技术来利用弱凭据登录到不受多因素身份验证保护的“遗留非生产测试租户帐户”。从那里，他们以某种方式获得了访问属于高级管理人员和在安全和法律团队工作的员工的电子邮件帐户的能力''

在上周四向客户更新其正在进行的调查结果的帖子中，Microsoft提供了有关黑客如何实现这种巨大访问升级的更多细节。黑客是Microsoft跟踪为Midnight Blizzard的组织的一部分，通过滥用OAuth授权协议获得了对特权电子邮件帐户的持续访问，该协议在全行业范围内用于允许一系列应用程序访问网络上的资源。在入侵测试租户后，Midnight Blizzard 使用它创建了一个恶意应用程序，并为其分配访问 Microsoft Office 365 电子邮件服务上每个电子邮件地址的权限。

在周四的更新中，Microsoft官员也说了同样的话，尽管他们使用的语言在很大程度上掩盖了重大错误的程度：

Midnight Blizzard 等威胁行为者会破坏用户帐户，以创建、修改 OAuth 应用程序并授予高权限，他们可以滥用这些权限来隐藏恶意活动。滥用 OAuth 还使威胁参与者能够保持对应用程序的访问，即使他们失去了对最初受损帐户的访问权限。Midnight Blizzard 利用其初始访问权限来识别和破坏一个旧版测试 OAuth 应用程序，该应用程序提升了对 Microsoft 企业环境的访问权限。该参与者创建了其他恶意 OAuth 应用程序。他们创建了一个新的用户帐户，以便在 Microsoft 公司环境中向参与者控制的恶意 OAuth 应用程序授予许可。然后，威胁参与者使用旧版测试 OAuth 应用程序授予他们 Office 365 Exchange Online full_access_as_app角色，该角色允许访问邮箱。

Kevin Beaumont 是一位拥有数十年经验的研究人员和安全专家，包括为 Microsoft 工作过一段时间，他在 Mastodon 上指出，帐户将全能full_access_as_app角色分配给 OAuth 应用程序的唯一方法是让帐户具有管理员权限。“有人，”他说，“在生产中犯了一个相当大的配置错误。

有充分的理由严格限制可以为 OAuth 应用分配如此广泛访问权限的帐户。很难想象有合法的理由将此类权限分配给测试帐户并维护这些权限，尤其是已达到旧状态的帐户。

测试帐户的配置之所以成为安全禁忌，是因为它破坏了限制应该提供的预期安全网。最基本的网络安全实践之一是最小特权原则。应始终为帐户配置执行其分配的任务所需的最少权限。在手头的案例中，很难理解为什么旧版测试帐户需要管理员权限。

“这有点像为生产系统设置一个域管理员用户......除了它是一个测试域，没有安全性、MFA、防火墙、监控等，“博蒙特写道。翻译：域管理员用户对连接到网络的所有设备具有完全管理权限，包括域控制器和存储凭据和创建新帐户的 Active Directory。作为网络上最强大的用户，他们应该被封锁，并且很少（如果有的话）成为生产系统的一部分。允许此类帐户不受强密码和其他标准安全措施的保护将使失误变得更糟。

Microsoft官员拒绝解释首先配置测试帐户的原因，以及为什么一旦它达到遗留状态，它就会被允许保留。

周四的更新提供了另外两个细节。首先是Microsoft在午夜暴雪袭击其他组织时发现了更多的违规行为，并通知了受影响的人。惠普企业本周早些时候表示，其网络也被午夜暴雪入侵。该漏洞发生在 5 月，直到 12 月才被发现或遏制。

第二个细节：用于访问测试帐户的密码喷洒仅限于有限数量的帐户，每个帐户的访问尝试次数很少。Midnight Blizzard 通过从分布式住宅代理基础设施进行这些攻击，进一步减少了其恶意活动。

该方法已经使用了好几年，包括 2020 年的 SolarWinds 供应链攻击，该攻击也是由 Midnight Blizzard 实施的。通过从具有良好声誉的 IP 地址连接到目标，并且这些 IP 地址地理位置到预期区域，黑客与合法用户混入其中。