事件经过
2023 年 7 月,微软电子邮件服务器的一个严重安全问题被曝光。据报道,微软丢失了整个电子邮件系统的通用登录密钥,导致美国政府被黑客入侵。据称,与中国政府有关的恶意攻击者能够从美国国务院、美国驻华大使和其他美国政府官员的电子邮件中窃取约 6 万封邮件。
微软本身并未发现这一数据泄露事件,而中国自 2023 年 5 月中旬以来一直在滥用这一数据泄露事件。相反,美国国务院官员却在 2023 年 6 月自己发现了这一漏洞,并通知了微软。更重要的是,美国国务院之所以能够调查这次数据泄露事件,是因为它使用了微软更昂贵的套餐,该套餐允许访问日志—在此之前,价格较低的套餐都不具备这一功能。事件发生后,微软将这些日志的访问权限也提供给了较低价位的产品。这至少是一个正确的举动,因为在我们看来,安全功能绝不能被锁在付费墙后面!
微软作为世界上最有价值的公司,却无法自行发现漏洞。在接到美国官员的通知后,微软的安全专家进一步调查了数据泄露事件,发现有 22 个组织和 503 名个人的 Microsoft Exchange Online 电子邮件账户受到攻击影响。他们的调查结果显示,来自所谓的 “Storm-0558 “组织的中国攻击者获得了一个特殊的安全代码,使他们能够访问微软的任何电子邮件帐户。美国情报部门透露,这次攻击是为北京最强大的间谍机构之一—国家安全部(MSS)实施的,该机构负责大型国家黑客行动。
美国国土安全部宣布将成立网络安全审查委员会(CSRB),对微软的云安全措施进行审查。该独立委员会的主要任务是
”CSRB将评估最近的微软Exchange Online入侵事件(最初报告于2023年7月),并对影响适用的CSP及其客户的基于云的身份和认证基础设施相关问题进行更广泛的审查。“… “委员会将制定可操作的建议,以推进云计算客户和CSP本身的网络安全实践。“
报告为微软得出了毁灭性的结论
现在,由美国总统拜登授权的独立网络安全审查委员会已经公布了其调查结果,而且非常糟糕。
报告得出的结论是:“Storm-0558(一个被评估为隶属于中华人民共和国的黑客组织)的入侵是可以预防的。“数据泄露 “本不应该发生”。
该报告引起了人们的强烈关注,因为微软至今仍不知道中国人究竟是如何进入微软Exchange在线邮箱的,并指责微软的网络安全措施非常糟糕,故意缺乏透明度,企业安全措施松懈。
根据这份报告,微软犯了 “一连串本可避免的错误”,而这些错误都是由不良的安全文化直接导致的。例如,用于访问电子邮件账户的密钥早在 2021 年就应该被停用,而且一开始就不应该有能力访问外交部的电子邮件账户。
微软发言人告诉《华盛顿邮报
”最近发生的事件表明,我们有必要在自己的网络中采用新的工程安全文化。虽然没有任何组织能够幸免于资源充足的对手的网络攻击,但我们已经动员我们的工程团队来识别和减轻遗留的基础设施,改进流程,并执行安全基准。“
不过,报告称这还不够:微软的 “安全文化是不充分的,需要彻底改革”。
微软一连串的错误
报告强调,微软方面的多重错误首先导致了Exchange邮箱的漏洞。
- 中国黑客用来入侵系统的旧签名密钥早在 2016 年就应该被禁用。
- 微软本应将密钥轮换从手动改为自动,这样旧密钥就会自动失效,但微软没有这么做。
- 该密钥就像消费者和企业网络的后门,违反了安全协议。
- 2020 年,微软收购了一家公司,该公司的一名工程师在一台被入侵的笔记本电脑上工作,并于 2021 年通过该电脑访问了公司网络。目前还不能确定这台笔记本电脑就是入侵的根本原因,但微软在2024 年 3 月发布的更新中指出,“被入侵的工程账户 “是造成入侵的 “主要假设”。
- 微软应该在被收购后对公司网络进行适当的安全评估,而不是让这一漏洞被忽视—但它没有这样做。
总之,这一连串的失误表明,安全并不是微软的首要任务,而这正是报告所严厉批评的。
报告甚至说,微软应该听听其创始人比尔-盖茨的意见,他在 2002 年的一封公司电子邮件中就已经强调了安全的重要性:
他在 2002 年的一封公司电子邮件中就强调了安全的重要性:“过去,我们通过增加新的特性和功能,使我们的软件和服务对用户更有吸引力。…因此,现在当我们面临增加功能和解决安全问题之间的选择时,我们需要选择安全。
国家安全风险
如果考虑到微软是许多国家政府的主要供应商—不仅在美国,在德国和许多其他欧洲国家也是如此,那么微软松懈的安全文化所造成的数据泄露问题就会变得更加严重。
风险不仅限于微软一家。大型云计算供应商,如谷歌、苹果、亚马逊和微软,都是西方国家对手的有利可图的目标,必须重视安全问题。网络安全审查委员会的报告最后指出:“整个行业必须齐心协力,大幅改善身份和访问基础设施…全球安全有赖于此。…全球安全有赖于此”。
如果恶意攻击者能够侵入政府官员、公共机构,甚至可能是情报部门的电子邮件账户,那么中国和俄罗斯等国家就能掌握非常敏感的信息,从而危及我们的国家安全。
看来,对手已经知道了微软的弱点。
2021 年,来自中国的恶意攻击者(也是在中国政府的支持下)入侵了微软 Exchange 电子邮件服务器,影响了至少 3 万个企业和政府实体的组织账户。
同样在 2021 年,安全专业公司 Wiz 披露了微软 Azure 基础设施中的一个漏洞,攻击者可以访问、修改和删除数以千计 Azure 客户的数据。当时,这个漏洞被描述为 “你能想象到的最糟糕的云漏洞”(而 2023 年的中国黑客攻击事件确实超过了这个漏洞),因为 Wiz 可以访问微软 Azure 客户的任何数据库。
但中国并不是唯一的对手:
2024 年 1 月,由俄罗斯对外情报局(SVR)赞助的俄罗斯攻击者攻击了微软的企业电子邮件服务。微软确认攻击者为 “午夜暴风雪”,他们侵入了高级管理人员和安全员工的邮箱。
2020 年,同样由俄罗斯政府资助的俄罗斯黑客攻击了 SolarWind 的网络软件,通过该软件,俄罗斯攻击者窃取了至少 9 个美国联邦机构和 100 家公司的电子邮件。这次攻击发生后,微软公司呼吁 “需要采取强有力的全球网络安全应对措施”。
不幸的是,CSRB 报告现在描绘的图景表明,微软并没有贯彻自己的呼吁,制定更好的安全战略。
CSRB 报告的 3 个教训
由于微软电子邮件服务在过去五年中存在的漏洞非常严重,因此现在必须集中精力解决根本问题:松懈的安全文化。我们 Tuta 正在建立一个端到端加密电子邮件和日历服务,明确关注隐私和安全。根据我们的经验,最佳安全实践必须包括以下内容:
1.安全必须始终优先于功能。
这是一个艰难的商业决定,因为安全本身并不能推销产品;为此需要功能。但最重要的是要立即修复漏洞,并尽可能多地加密数据,如 Tuta Mail。我们还非常高兴地看到,德国政府希望将加密权写入法律。在德国,人们已经越来越重视安全问题,例如在石勒苏益格-荷尔斯泰因州。德国最北端的联邦州正在从 Windows 迁移到 Linux,这在安全和数字主权方面是一个伟大的举动。
我们 Tuta 完全同意报告的结论:安全必须优先于功能。
2.不能存在可用作 “后门 “的通用密钥。
最近的微软 Exchange 黑客事件之所以能够发生,是因为中国攻击者窃取了一个通用密钥,使他们能够登录 Exchange 邮箱。这对中国来说是一个非常有利可图的后门,而这个后门本来就不应该存在。在 Tuta,我们遵循严格的安全惯例,即只有用户才能访问私人解密密钥,而我们作为服务提供商是绝对不能访问的。没有解密用户数据的通用密钥—出于安全原因也绝不能有。没有通用密钥作为后门,Tuta Mail 就不可能发生类似 2023 年微软公司发生的数据泄露事件。
我们的创始人马蒂亚斯-普福(Matthias Pfau)解释了为什么这一点很重要,以及为什么私钥绝不能存储在中央服务器上。
3.安全功能必须免费提供。
Microsoft Exchange 黑客事件之所以会被美国国务院发现,是因为它可以访问日志功能,而低价层级中并不包含该功能。在 Tuta,所有用户都可以使用所有安全功能,即使是免费计划。这包括我们全新的后量子加密以及双因素身份验证,以确保登录凭证和会话处理的安全。
微软现在让较低价位的用户也能使用日志功能,这是件好事,但从一开始就应该这样做。
总之,微软创始人比尔-盖茨(Bill Gates)在 2002 年曾说过:不仅对微软,对任何云服务提供商来说,安全优先于功能都是非常重要的。
中国的这次黑客攻击是否最终会让微软建立起真正的安全文化,未来将会见分晓。
在此之前,请随时使用 Tuta Mail 注册一个安全加密的邮箱。