微软解释Azure漏洞原因：工程师账户被黑

微软表示，一名工程师的公司帐户遭到一名技术精湛的威胁参与者黑客攻击，该威胁参与者获得了签名密钥，用于攻击属于知名用户的数十个 Azure 和 Exchange 帐户。

这一披露揭开了微软7 月份披露的两个核心漏洞。微软表示被追踪为 Storm-0558 的黑客已在其公司网络内潜入一个多月，并获得了 Azure 和 Exchange 帐户的访问权限，其中几个帐户被确定属于美国国务院和商务部。Storm-0558 通过获取过期的 Microsoft 帐户消费者签名密钥并使用它为 Microsoft 据称强化的 Azure AD 云服务伪造令牌来实现这一行为。

来源：Microsoft finally explains cause of Azure breach: An engineer’s account was hacked | Ars Technica