보안 기업 위즈(Wiz)는 Storm-0558이라는 코드명으로 불리는 중국계 해커가 마이크로소프트 소비자 서명키를 훔쳐 익스체인지 온라인, 아웃룩닷컴 계정에 액세스할 수 있다고 지적했다.
Storm-0558 존재는 적어도 2016년부터 확인됐으며 마이크로소프트 소비자 서명키가 지난 6월 27일부터 7월 5일 사이 변조됐으며 확인된 악성코드로 교체됐다는 게 감지됐다. 마이크로소프트는 영향을 받은 게 익스체인지 온라인, 아웃룩닷컴 뿐이라고 말하지만 영향을 받은 조직 중에는 미국 국무부나 상무부는 물론 서유럽 지역 정부기관이 포함되어 있다고 한다. 위즈 측은 공격이 침해된 마이크로소프트 소비자 서명키를 활용해 공격 받는 고객과 클라우드 기반 마이크로소프트 애플리케이션 모든 계정이 될 수 있다고 밝히고 있다.
여기에는 아웃룩닷컴, 셰어포인트, 원드라이브, 팀즈 등 마이크로소프트 관리 앱과 마이크로소프트로 로그인 기능을 허용하는 응용 프로그램 등 마이크로소프트 계정 인증을 지원하는 고객 응용 프로그램이 포함된다는 것.
위즈 측은 마이크로소프트에선 모든 액세스를 위해 애저 액티브 디렉터리(Azure Active Directory) 인증 토큰을 사용하고 있다. 이 서명키를 가진 공격자는 모든 사용자 거의 모든 앱에 액세스할 수 있기 때문에 상상할 수 있는 가장 강력한 공격자라는 지적이다.
마이크로소프트는 Storm-0558 전술에 주목해 자사 소비자 서명키에 액세스할 수 없게 됐다고 보고했다. 하지만 마이크로소프트는 소비자 서명키에 어떻게 액세스할 수 있었는지에; 대해선 밝혀지지 않았다고 한다. 관련 내용은 이곳에서 확인할 수 있다.