PC & Internet Microsofts gestohlener Schlüssel mächtiger als vermutet

Microsofts gestohlener Schlüssel mächtiger als vermutet​

"Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Microsoft-Cloud.
Dem Sicherheitsunternehmen Wiz ist es nach eigenen Angaben gelungen, den gestohlenen Microsoft-Key zu identifizieren, mit dem mutmaßlich chinesische Angreifer die Mails von Regierungsbehörden ausspionierten. Demzufolge hätten diese Angreifer auch Zugriff auf nahezu alle Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams erlangen können. Selbst Kunden-Apps in der Cloud mit "Login with Microsoft" könnten demnach sperrangelweit offen gestanden haben. Ob sie diese Möglichkeiten tatsächlich nutzten, weiß man nicht, denn Microsoft versteckt sich hinter nichtssagenden Dementis."

Das Cloud-Fiasko​

Mitte Juni machte eine US-Behörde den Cloud-Riesen Microsoft auf seltsame Vorgänge in ihren Online-Exchange-Konten aufmerksam. Sie hatten in Protokolldaten, die Microsoft separat als Produkt anbietet, verdächtige Zugriffe auf ihre E-Mails registriert. Die anschließende Analyse enthüllte ein Debakel riesigen Ausmaßes, das Microsoft nur widerstrebend und stückweise offenlegte. Mutmaßlich chinesische Angreifer, die Microsoft als Storm-0558 bezeichnete, hatten sich Zugriff auf das von Microsoft gehostete Exchange Online vornehmlich europäischer Regierungsbehörden verschafft.

Dazu hatten die Angreifer einen Signaturschlüssel von Microsoft entwendet, mit dem sie sich selbst funktionierende Zugangstoken für Outlook Web Access (OWA) und Outlook.com ausstellen und dann über Skripte unter anderem Mails und deren Anhänge herunterladen konnten. Wie dieser Diebstahl gelingen konnte, will oder kann Microsoft selbst einen Monat später noch nicht erklären. Dass die mit dem Signaturschlüssel ausgestellten Tokens überhaupt funktionierten, erläutert das Unternehmen ebenfalls nicht ausreichend: Ein Problem mit der Gültigkeitsprüfung ("Validation Issue") habe dazu geführt, dass die eigentlich nur für Privatkunden-Konten (MSA) vorgesehene digitale Unterschrift auch im Azure Active Directory für Business-Kunden funktionierte. Erschwerend hinzu kommt die Tatsache, dass Microsoft es offenbar gezielt vermeidet, die von diesem Security- und Privacy-Desaster betroffenen Produkte explizit zu benennen. (Mehr dazu in: Microsoft reagiert auf Online-Exchange-Fiasko: Mehr Logs für alle)

Ein Hauptschlüssel zu Microsofts Cloud-Königreich​

In diese ohnehin schon undurchsichtige Gemengelage platzt jetzt eine Analyse der auf Cloud-Security spezialisierten Firma Wiz, die behauptet, dass alles noch viel schlimmer sei. Die Forscher haben sich auf die Suche nach dem gestohlenen Schlüssel gemacht und diesen nach eigenen Angaben tatsächlich mithilfe des von Microsoft veröffentlichten Fingerprints identifiziert. Dann haben sie die öffentlich verfügbaren und etwa im Internet Archive dokumentierten Listen von gültigen Signatur-Schlüsseln untersucht und stellten fest: Der gestohlene Schlüssel schloss nicht nur bei Microsofts Exchange Online, sondern fast überall in Microsofts Cloud.

Dieser OpenID Signing Key
wurde Microsoft entwendet. Er hatte sehr
weitreichende Rechte – warum, weiß man nicht.

Du musst angemeldet sein, um Bilder zu sehen.

(Bild: Wiz Resarch)

Du musst angemeldet sein, um Bilder zu sehen.

Quelle:

Microsofts gestohlener Schlüssel mächtiger als vermutet

Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Microsoft-Cloud.

www.heise.de

 

[opapa]

Microsofts gestohlener Master-Key: USA stellen Cloud-Security auf den Prüfstand​

15.08.2023 13:03 Uhr Jürgen Schmidt

Du musst angemeldet sein, um Bilder zu sehen.

(Bild: aows/Shutterstock.com)
Das Cyber Safety Review Board wird für Präsident Biden einen Bericht über Angriffe auf Cloud-Dienste und insbesondere den Vorfall in Microsofts Cloud erstellen.

Anlässlich einer Executive Order des US-Präsidenten zur Verbesserung der Cyber-Security gründeten die USA das Cyber Safety Review Board [1] (CSRB). Es soll "größere Cyber-Ereignisse überprüfen und dazu konkrete Empfehlungen aussprechen". Ein solches "größeres" Cyber-Ereignis war der Einbruch vermutlich chinesischer Angreifer in Microsofts Cloud. Immerhin spionierten diese die Mails zweier US-Behörden aus und hatten zumindest potenziell Zugriff auf die Daten aller Cloud-Kunden. Deshalb nimmt sich das CSRB jetzt diesen Vorfall und Cloud-Security im Allgemeinen vor. Aus dieser Untersuchung soll ein Bericht [2] mit konkreten Handlungsempfehlungen entstehen, der unter anderem US-Präsident Biden und dem Chef der Cybersecurity and Infrastructure Security Agency (CISA) Jen Easterly vorgelegt wird.

Diese Ankündigung ist ein herber Rückschlag für Microsofts Versuche, diesen eklatanten Vorfall herunterzuspielen. Der Cloud-Riese weigert sich [3] nach wie vor hartnäckig, die konkreten Details zum Versagen der eigenen Sicherheitsvorkehrungen zu offenbaren. So ist bisher weder bekannt, wie und wo der Master-Key gestohlen wurde, noch was es mit dem ominösen "Überprüfungsfehler" auf sich hat, der dazu führte, dass dieser überhaupt funktionierte. Denn wie sich erst nach Microsofts ursprünglicher Erklärung zu den angeblich entschärften Angriffen herausstellte, gewährte dieser unberechtigterweise Zugang zu fast der gesamten Microsoft-Cloud. [4]

Bereits früh wurde klar, dass zumindest die CISA den Vorfall überaus ernst nahm. Ihrem Drängen ist es zu verdanken, dass Microsoft zukünftig zumindest die Log-Dateien ohne Zusatzkosten [5] bereitstellen wird, mit denen solche Angriffe entdecken kann. Ob diese CSRB-Untersuchung jetzt zu mehr Klarheit und vor allem Druck auf Microsoft führen wird, transparenter mit dem Thema Security umzugehen, wird sich zeigen müssen.

Reaktionen aus Europa? Fehlanzeige!​

Doch schon jetzt bedeutet diese Ankündigung eine heftige Ohrfeige für alle europäischen Sicherheits- und Datenschutz-Behörden. Denn die primären Opfer des Angriffs waren laut Microsoft europäische Regierungsbehörden. Da läge es durchaus nahe, dass die sich jetzt auf die Hinterbeine stellen und von Microsoft eine volle Offenlegung einfordern, wie es zu einem solchen Versagen kommen konnte. Auch eine Re-Evaluierung ihrer Nutzung von Microsofts und anderen Cloud-Diensten sollte eigentlich ganz weit oben auf die Tagesordnung rücken.

Doch Fehlanzeige: "Der Vorfall [...] führt aber nicht zu einer grundsätzlichen Neubewertung der Sicherheit von Cloud-Computing durch das BSI", heißt es in der Stellungnahme der obersten deutschen Sicherheitsbehörde, die uns dazu nach über einer Woche erreichte. Welche europäischen Behörden in welchem Umfang ausspioniert wurden, weiß man nach wie vor nicht. Auf eine diesbezügliche Anfrage von heise Security antwortete das BSI, dass man in der Angelegenheit eng mit Microsoft zusammenarbeite; man habe aber zum jetzigen Zeitpunkt "keine Hinweise, dass Einrichtungen der Bundesverwaltung betroffen sind". In meinem Kommentar "20 Jahre Blaster-Wurm: Der nächste Super-GAU wartet in der Cloud [6]" nannte ich das etwas provokativ "Duldungsstarre".
(ju [7])

---

URL dieses Artikels:

Microsofts gestohlener Master-Key: USA stellen Cloud-Security auf den Prüfstand

Das Cyber Safety Review Board wird für Präsident Biden einen Bericht über Angriffe auf Cloud-Dienste und insbesondere den Vorfall in Microsofts Cloud erstellen.

www.heise.de