Microsofts Cloud Fiasko
Wie heise online meldet, waren die Folgen des bei Microsoft entwendeten Signaturschlüssels wohl weitreichender als vermutet.
Was ist passiert?
Mitte Juni wurde Microsoft von einem Kunden gemeldet, dass er verdächtige Zugriffe auf seine Microsoft Exchange-Online Konten beobachtete. Eine Analyse von Microsoft ergab, dass eine offensichtlich in China ansässige Hackertruppe namens Storm-0558 Zugriff auf die Kundendaten über OWA erlangt hatte.
Storm-0558 war dies über die Verwendung eines gestohlenen Signaturschlüssels gelungen. Diesen Signaturschlüssel konnte Storm-0558 durch Kapern von Endgeräten des Kunden und einer Erhöhung seiner Zugriffsrechte nutzen, um sich Zugriffs-Tokens auf Exchange-Online Daten zu verschaffen.
Hier kommt das eigentliche Drama der Aktion zum Ausdruck:
Der verwendete Signaturschlüssel war ein Microsoft Consumer-Key! Er konnte dennoch auch als Enterprise-Key genutzt werden, weil die Überprüfung der Gültigkeit bei Microsoft in diesem Fall komplett versagt hatte. Dadurch konnte Storm-0558 nicht nur Exchange-Emails mitlesen, sondern den geraubten Schlüssel auch missbräuchlich verwenden, um unberechtigt Zugriffstoken auf weitere Apps im Azure-AD zu generieren.
Dies ist umso schlimmer, als dieser Missbrauch nur über eine aufwändige Log-Analyse der M365-Produkte möglich ist, welche bislang nur Kunden mit E5-Lizenzen zur Verfügung steht. Microsoft hat angekündigt, diese Logs zukünftig allen Kunden zugänglich zu machen.
Dieser Vorfall zeigt, wie anfällig eine Cloud-Umgebung ist, und dass jedem Kunden nur geraten werden kann alle Best-Practices von Sicherheitsstellen wie z.B. der CISA (Cybersecurity & Infrastructure Security Agency) oder dem BSI ernst zu nehmen und nach bestem Wissen und Gewissen umzusetzen. Hierzu zählt auch die adäquate Absicherung der Endgeräte durch Einschränkung der Rechte von nicht privilegierten Nutzern, damit es Gruppen wie Storm-0558 nicht möglich ist, sich zusätzliche Rechte zu verschaffen und damit Ihre Ausbreitung in on-prem- und Cloud-Umgebungen zu minimieren.
Es bleibt zu hoffen, dass Microsoft seinen Informationspflichten bei offensichtlich erfolgten Breaches nachkommt. Zwar versichert Microsoft, dass alle von dem Vorfall betroffenen Kunden informiert wurden, aber mangels wirklich ausreichender Informationen durch Microsoft und dem bei vielen Kunden fehlenden Zugriff auf Log-Dateien bleibt ein ungutes Gefühl zurück.
Zero-Trust gilt für alle Bereiche, auch für große Cloud-Anbieter wie Microsoft. Jeder Kunde muss selber dafür Sorge tragen, dass unberechtigte Zugriffe so früh wie möglich unterbunden und so schnell wie möglich erkannt, protokolliert und analysiert werden.
Update zum Vorfall
Wie Security-Insider berichtet, war der gestohlene Signatur-Key offenbar im Crash-Dump eines abgestürzten Signatur-Servers enthalten. Und dieser Crash-Dump wurde zur Analyse in ein ein anderes Netzwerk sortiert, wo die Hacker sich den Zugriff verschafft hatten.
Weiterhin unklar ist, wieso dieser Signatur-Key eine Gültigkeit ausserhalb seiner eigentlichen Domain haben konnte.
Weiterführende Links:
- https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html
- https://www.heise.de/news/Microsoft-reagiert-auf-Online-Exchange-Fiasko-Mehr-Logs-fuer-alle-9222889.html
- https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr
- https://www.cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project
- https://www.security-insider.de/gestohlener-master-key-von-microsoft-a-e13eabefaeb7354292ddd63dfae063d0/?cmp=nl-36&uuid=6ef26465a187e221acd60fe0f9532b56