Hackern ist es gelungen, einen Microsoft-Master-Key zu stehlen. Besonders kritisch bei diesem Vorfall: Sie konnten dadurch auch auf Kundendaten in Azure, Outlook.com und Microsoft 365 zugreifen.
Wir erklären, was es mit dem Sicherheitsvorfall auf sich hat und wie Unternehmen herausfinden können, ob sie davon betroffen sind.
Hacker stehlen Microsoft-Master-Key
Angriffe auf Microsoft sind sozusagen an der Tagesordnung. Anvisiert werden dabei sowohl der Software-Konzern selbst als auch (Unternehmens-)Kunden, die die Software-Produkte von Microsoft einsetzen. Leider haben die Angreifer dabei immer mal wieder Erfolg – und das ist auch jetzt wieder der Fall: Storm-0558, eine Hackergruppe aus China, hat es geschafft, einen Master-Signatur-Schlüssel (auch: Signing Key) von Microsoft zu erbeuten. Dieser Microsoft-Master-Key ist so etwas wie ein Generalschlüssel, um Zugriffstoken für die Azure Cloud zu signieren. Besonders heikel: Mit so einem Schlüssel können die Hacker auch gefälschte Zugriffstoken erstellen und sich dadurch Zugriff auf die Daten von Microsoft-Kunden verschaffen.
Es wurde mittlerweile festgestellt, dass der Master-Schlüssel dabei nicht nur den Zugriff auf Kundendaten in der Azure Cloud ermöglicht hat, sondern auch auf Daten in Outlook.com und Microsoft 365. Das Sicherheitsunternehmen Wiz warnt sogar davor, dass die Hacker möglicherweise auch auf Kunden-Apps in der Cloud zugreifen könnten, die den „Login with Microsoft“ verwenden – das Ausmaß dieses Vorfalls ist dementsprechend immens!
Master-Key-Diebstahl: Was ist passiert?
Der Diebstahl des Signing Key soll auf den Absturz eines Signatur-Servers zurückzuführen sein, der bereits im April 2021 stattgefunden hat. Im Zuge des Server-Absturzes hat das Betriebssystem einen sogenannten Crash-Dump erstellt. Dabei handelt es sich um eine Datei, die Informationen über den Zustand des Systems zum Zeitpunkt des Absturzes enthält. Die Informationen sollen dabei helfen, die Ursache für den Absturz zu ermitteln und zu beheben.
Das Problem: Die Daten aus dem Crash-Dump wurden aus dem sicheren Netzwerk des Signatur-Servers in ein unsicheres Netzwerk verschoben, vermutlich um den Server-Absturz zu untersuchen. Indem ein Mitglied von Storm-0558 das Unternehmenskonto eines Microsoft-Ingenieurs erfolgreich kompromittieren konnte, erhielt der Hacker Zugriff auf den Crash-Dump, der auch den besagten Microsoft-Master-Key enthielt.
Experten kritisieren, dass die Sicherheitssysteme von Microsoft bei diesem Vorfall versagt haben, indem sie den Vorgang nicht protokollierten. Zudem scheint Microsoft an verschiedenen Stellen denselben Schlüssel verwendet zu haben – ein absolutes No-Go!
Haben Hacker Regierungsbehörden ausspioniert?
Es wird vermutet, dass die Storm-0558-Hacker mit dem kompromittierten Microsoft-Master-Key die E-Mails amerikanischer und möglicherweise auch europäischer Behörden ausspioniert haben. Microsoft hat am 11. Juli 2023 zwei Blog-Beiträge veröffentlicht, in denen der Software-Konzern von den erfolgreichen Cyberangriffen auf E-Mails in Exchange Online und Outlook.com berichtet.
Demnach konnten die Angreifer seit dem 11. Mai 2023 auf die E-Mails von etwa 25 Organisationen zugreifen, die Kunden der Microsoft Cloud waren; zudem sollen die Hacker Zugriff auf mehrere private E-Mail-Konten von den Mitarbeitern der betroffenen Organisationen gehabt haben. Nachdem die Angriffe am 16. Juni 2023 durch einen betroffenen Kunden entdeckt worden seien, habe Microsoft die ausgenutzten Schwachstellen sofort geschlossen.
Microsoft hat die betroffenen Regierungsbehörden über den Vorfall informiert. Die Behörden haben Untersuchungen eingeleitet, um den Umfang des Ausspähvorgangs zu ermitteln. Ob und welche Daten gestohlen worden sein könnten, ist noch nicht bekannt; es ist aber durchaus möglich, dass es sich um sensible Daten handelt – darunter Regierungsangelegenheiten, militärische Informationen oder diplomatische Korrespondenz.
Microsoft will Kunden mit Playbook helfen
Microsoft hat inzwischen angekündigt, dass alle Schwachstellen bereits behoben wurden und dass weitere Sicherheitsmaßnahmen durchgeführt würden, damit sich ein derartiger Vorfall nicht wiederholen kann. Unter anderem will Microsoft weitere Sicherheitsmechanismen für Azure-Dienste einführen, noch intensiver mit Strafverfolgungsbehörden zusammenarbeiten, um Hackergruppen zu verfolgen, und Kunden zudem besser über Sicherheitsrisiken aufklären.
Mit einem Playbook bietet Microsoft jetzt denjenigen Kunden Hilfestellung, die von dem aktuellen Sicherheitsvorfall betroffen sein könnten. Azure-Nutzer sollen mit Hilfe dieses ausführlichen Leitfadens feststellen können, ob in ihrer Organisation ein Token-Diebstahl erfolgt ist und ob es Hintertüren und kompromittierte Zugänge in ihrer Azure-Cloud gibt.
Dazu beschreibt der Leitfaden, wie Kunden Microsoft Sentinel oder ein anderes SIEM-Tool (Security Information and Event Management) konfigurieren müssen, um alle relevanten Ereignisse und Protokolleinträge in den Bereichen Identitäten, Anmelde- und Überwachungsprotokolle, Office-Apps und Endgeräte zusammenzuführen und ungewöhnliche Aktivitäten zu erkennen. Zudem enthält er Hinweise, wie sich eine Kompromittierung erkennen und gegebenenfalls eindämmen lässt und wie sich wieder ein sicherer Zustand herstellen lässt.
IT-Dienstleister unterstützen bei Schutzmaßnahmen
Das klingt alles schrecklich fachspezifisch und kompliziert? Zugegebenermaßen ist es nicht ganz einfach, sich im Microsoft-Universum auszukennen und es noch dazu sicher aufzustellen. Es bedarf daher durchaus spezieller Fachkenntnis, um den Gefahren, die eigentlich ständig durch Cyberkriminalität drohen, angemessen zu begegnen. Gut, dass es professionelle IT-Dienstleister gibt, die so eine Fachkenntnis besitzen und diese in den Dienst von Unternehmenskunden stellen. Sie finden genau solche IT-Dienstleister unter den Experten aus dem IT-SERVICE.NETWORK!
Unsere Profis helfen Ihnen gern dabei zu untersuchen, ob der aktuelle Microsoft-Sicherheitsvorfall auch Ihr Unternehmen in Gefahr bringt. Aber auch dann, wenn Ihr Unternehmen von diesem speziellen Sicherheitsvorfall nicht betroffen sein sollte, ist grundsätzlich Vorsicht geboten. Denn: Schon seit Monaten warnt der Software-Konzern davor, dass verschiedene Hackergruppen massiv lokal betriebene Exchange-Server und auch Dienste in Microsoft 365 angreifen – zum Beispiel Microsoft Teams. Wir helfen Ihnen, sich bestmöglich davor zu schützen!
Weiterführende Informationen:
Security Insider, heise, heise, heise, Microsoft
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung