Was du wissen musst
- Microsoft wurde von einem Beratungsgremium für Cybersicherheit untersucht, nachdem mehrere Konten von US-Regierungsbeamten gehackt wurden.
- Das Unternehmen hat nun bekannt gegeben, dass die Hackergruppe Storm-0558 über einen Signaturschlüssel aus einem Windows-Crash-Dump auf diese Konten zugreifen konnte.
- Microsoft gibt an, dass der Verstoß behoben wurde und nur Exchange Online und Outlook betroffen ist.
- Ein Sicherheitsforscher entgegnete den Behauptungen mit der Begründung, dass der Verstoß weiter verbreitet sei und cloudbasierte Microsoft-Plattformen wie Outlook, SharePoint, OneDrive und Teams betreffe.
Vor einiger Zeit leitete ein von der Regierung von Präsident Biden beauftragtes US-Beratungsgremium für Cybersicherheit eine Untersuchung gegen Microsoft ein, nachdem es einer chinesischen Hackergruppe namens Storm-0558 gelungen war, Microsoft-E-Mail-Konten von zwei Dutzend Regierungsbehörden zu knacken. Ziel des Gremiums ist es, die Beteiligung von Microsoft an der Angelegenheit zu ermitteln. Es wird spekuliert, dass hinter der Geschichte möglicherweise mehr steckt und das Unternehmen diesbezüglich alles andere als transparent ist.
Microsoft war zwar in der Lage, das Problem zu entschärfen, lieferte jedoch keinen detaillierten Bericht darüber, wie es zu dem Vorfall kam und wie die Angreifer Zugriff auf die Anmeldeinformationen erhalten konnten.
Laut einem neuen Bericht von BleepingComputerMicrosoft hat angegeben, dass Storm-0558 auf die Anmeldeinformationen der Beamten zugreifen konnte, indem es einen Signaturschlüssel aus einem Windows-Absturzspeicherauszug stahl, nachdem er das Unternehmenskonto eines Microsoft-Ingenieurs verletzt hatte.
Die Hacker nutzten den Schlüssel, um Exchange Online- und Azure Active Directory-Konten mehrerer Organisationen zu kompromittieren. Zu den von dem Verstoß betroffenen Parteien gehörten in den USA ansässige Regierungsbehörden, darunter das US-Außenministerium und das US-Handelsministerium. Dies sorgte bei mehreren für Aufsehen, darunter auch bei Senator Ron Wyden, der am 27. Juli einen Brief verfasste, in dem er das Cyber Safety Review Board aufforderte, die Angelegenheit zu untersuchen.
Wir stellten fest, dass dieser Absturzspeicherauszug, von dem damals angenommen wurde, dass er kein Schlüsselmaterial enthielt, anschließend aus dem isolierten Produktionsnetzwerk in unsere Debugging-Umgebung im mit dem Internet verbundenen Unternehmensnetzwerk verschoben wurde. Dies steht im Einklang mit unseren Standard-Debugging-Prozessen. Unsere Methoden zum Scannen von Anmeldeinformationen haben das Vorhandensein nicht erkannt (dieses Problem wurde behoben).
Microsoft
Microsoft führte weiter aus, dass die chinesische Hackergruppe ein Zero-Day-Validierungsproblem in der GetAccessTokenForResourceAPI ausgenutzt habe, das inzwischen entschärft wurde, um signierte Zugriffstoken zu fälschen und es ihnen so zu ermöglichen, sich als die Konten der Beamten auszugeben.
Das Unternehmen erläuterte außerdem, dass der MSA-Schlüssel, mit dem die Konten der Beamten gehackt wurden, auf April 2021 datiert, als er nach einer Fehlfunktion des Signatursystems eines Verbrauchers in einen Crash-Dump gelangte.
Laut Microsoft:
Aufgrund der Protokollaufbewahrungsrichtlinien verfügen wir nicht über Protokolle mit spezifischen Beweisen für diese Exfiltration durch diesen Akteur, aber dies war der wahrscheinlichste Mechanismus, über den der Akteur an den Schlüssel gelangt ist.
Das Unternehmen fügte hinzu, dass der Crash-Dump zwar nicht die Signaturschlüssel hätte enthalten dürfen, eine Rennbedingung jedoch zu seiner Aufnahme geführt habe. Insbesondere wurde der Crash-Dump vom Produktionsnetzwerk des Unternehmens in die mit dem Internet verbundene Debugging-Umgebung des Unternehmens verlagert. Microsoft hat jedoch angegeben, dass das Problem inzwischen behoben wurde, und verwies darauf, dass die Methoden zum Scannen von Anmeldeinformationen keine Anwesenheit der Angreifer festgestellt hätten.
Analyse: Wie schwerwiegend war der Verstoß?
Laut Shir Tamari, einem Sicherheitsforscher bei Wiz, breitete sich der Verstoß der chinesischen Hacker über Exchange Online und Outlook hinaus aus. Der Forscher gab an, dass der Verstoß den Angreifern Zugriff auf die Cloud-Dienste von Microsoft verschaffte.
Der umfassende Zugriff auf diese Dienste bedeutet, dass Angreifer den Schlüssel nutzen könnten, um sich als nahezu alle cloudbasierten Microsoft-Plattformen auszugeben, darunter Outlook, SharePoint, OneDrive und Teams. Nicht zu vergessen sind Apps, die die Microsoft-Kontoauthentifizierung unterstützen.
Microsoft hat jedoch die Behauptungen zurückgewiesen, dass der Schlüssel nur für Apps genutzt werden könne, die persönliche Konten akzeptieren. Dies wiederum veranlasste das Unternehmen dazu, alle gültigen MSA-Signaturschlüssel zu widerrufen, um die Bemühungen der Angreifer, an weitere gefährdete Schlüssel zu gelangen, zu vereiteln. Ebenso wurde dadurch auch die Generierung neuer Zugriffstoken blockiert. Schließlich verschob das Unternehmen kürzlich generierte Zugriffstoken in den Schlüsselspeicher, der in seinen Unternehmenssystemen verwendet wird.
Ami Luttwak, CTO und Mitbegründer von Wiz, während er mit BleepingComputer spricht teilte die folgenden Gefühle:
Alles in der Welt von Microsoft nutzt Azure Active Directory-Authentifizierungstoken für den Zugriff. Ein Angreifer mit einem AAD-Signaturschlüssel ist der mächtigste Angreifer, den Sie sich vorstellen können, da er wie jeder Benutzer auf nahezu jede App zugreifen kann. Dies ist die ultimative „Gestaltwandler“-Supermacht der Cyber-Intelligenz.
Tenable-CEO Amit Yoranhat Microsoft mehrfach kritisiert und auf mangelnde Transparenz in Bezug auf Sicherheitsverstöße und Sicherheitspraktiken hingewiesen.