Microsoft sagte in Juni, dass eine von China unterstützte Hackergruppe einen kryptografischen Schlüssel aus den Systemen des Unternehmens gestohlen hatte. Mit diesem Schlüssel konnten die Angreifer auf cloudbasierte Outlook-E-Mail-Systeme von 25 Organisationen zugreifen, darunter mehrere US-Regierungsbehörden. Zum Zeitpunkt der Offenlegung erklärte Microsoft jedoch nicht, wie es den Hackern gelang, einen so sensiblen und streng geschützten Schlüssel zu kompromittieren oder wie sie den Schlüssel für den Wechsel zwischen Verbraucher- und Unternehmenssystemen nutzen konnten. Aber a neue Obduktion Der am Mittwoch veröffentlichte Bericht des Unternehmens erklärt eine Kette von Ausrutschern und Versäumnissen, die den unwahrscheinlichen Angriff ermöglicht haben.
Solche kryptografischen Schlüssel sind in der Cloud-Infrastruktur von Bedeutung, da sie zur Generierung von Authentifizierungstokens verwendet werden, die die Identität eines Benutzers für den Zugriff auf Daten und Dienste nachweisen. Microsoft gibt an, diese sensiblen Schlüssel in einer isolierten und streng zugriffskontrollierten „Produktionsumgebung“ zu speichern. Doch bei einem bestimmten Systemabsturz im April 2021 handelte es sich bei dem Schlüssel um einen zufälligen blinden Passagier in einem Datencache, der die geschützte Zone verließ.
„Die besten Hacks sind Todesfälle durch 1.000 Papierschnitte, nicht etwas, bei dem man eine einzige Schwachstelle ausnutzt und dann alle Vorteile bekommt“, sagt Jake Williams, ein ehemaliger Hacker der US-amerikanischen National Security Agency, der jetzt an der Fakultät des Institute for Applied arbeitet Netzwerksicherheit.
Nach dem verhängnisvollen Absturz eines Consumer-Signatursystems landete der kryptografische Schlüssel in einem automatisch generierten „Crash-Dump“ mit Daten über das Geschehen. Die Systeme von Microsoft sollen so konzipiert sein, dass Signaturschlüssel und andere sensible Daten nicht in Absturzdumps landen, aber dieser Schlüssel ist aufgrund eines Fehlers durchgerutscht. Schlimmer noch: Die Systeme, die zur Erkennung fehlerhafter Daten in Crash-Dumps entwickelt wurden, versäumten es, den kryptografischen Schlüssel zu kennzeichnen.
Nachdem der Crash-Dump scheinbar überprüft und gelöscht wurde, wurde er von der Produktionsumgebung in eine „Debugging-Umgebung“ von Microsoft verschoben, eine Art Triage- und Überprüfungsbereich, der mit dem regulären Unternehmensnetzwerk des Unternehmens verbunden ist. Auch hier konnte ein Scan, der die versehentliche Eingabe von Anmeldeinformationen erkennen sollte, das Vorhandensein des Schlüssels in den Daten nicht erkennen.
Irgendwann nach all dem, im April 2021, kompromittierte die chinesische Spionagegruppe, die Microsoft Storm-0558 nennt, das Unternehmenskonto eines Microsoft-Ingenieurs. Mit diesem Konto konnten die Angreifer auf die Debugging-Umgebung zugreifen, in der der unglückliche Crash-Dump und der Schlüssel gespeichert waren. Microsoft gibt an, dass es keine Protokolle mehr aus dieser Zeit gibt, die direkt zeigen, dass das kompromittierte Konto den Absturzspeicherauszug herausgefiltert hat, „aber dies war der wahrscheinlichste Mechanismus, durch den der Akteur an den Schlüssel gelangt ist.“ Mit dieser entscheidenden Entdeckung konnten die Angreifer damit beginnen, legitime Zugriffstoken für Microsoft-Konten zu generieren.
Eine weitere unbeantwortete Frage zu dem Vorfall war, wie die Angreifer einen kryptografischen Schlüssel aus dem Absturzprotokoll eines Verbrauchersignatursystems nutzten, um in die Unternehmens-E-Mail-Konten von Organisationen wie Regierungsbehörden einzudringen. Microsoft sagte am Mittwoch, dass dies aufgrund eines Fehlers in einer Anwendungsprogrammierschnittstelle möglich sei, die das Unternehmen bereitgestellt hatte, um Kundensystemen bei der kryptografischen Validierung von Signaturen zu helfen. Die API wurde nicht vollständig mit Bibliotheken aktualisiert, die validieren würden, ob ein System mit Verbraucherschlüsseln oder Unternehmensschlüsseln signierte Token akzeptieren sollte, und daher könnten viele Systeme dazu verleitet werden, beides zu akzeptieren.