Es war eine Nachricht mit Gänsehaut-Faktor: Die Microsoft Cloud wurde im Zeitraum Mitte Mai bis Mitte Juni erfolgreich von Hackern angegriffen. Die chinesische Hacker-Gruppe „Storm-0558“ habe durch gefälschte Authentifizierungstoken per Outlook Web Access (OWA) Zugriff erlangt auf E-Mail-Konten von 25 Organisationen und einige Consumer-Accounts, die wahrscheinlich mit den betroffenen Organisationen zusammenarbeiten (siehe Pressemitteilung von Microsoft). Der Angriff wurde von Microsoft beendet und der von Storm-0558 genutzte Schlüssel gesperrt.
Details zum genaueren Ausmaß des Angriffs, der immerhin einen Monat andauerte, lieferte Microsoft (natürlich) nicht. Doch weiteren Angaben von Microsoft zufolge waren Regierungsbehörden in Westeuropa das eigentliche Ziel der Hacker. Die betroffenen Organisationen seien durch Microsoft bereits informiert worden. Microsoft habe sich direkt an die Tenant-Administratoren gewendet. Wer also nicht kontaktiert wurde, der ist auch nicht betroffen, so Microsoft. Details der Untersuchungen von Microsoft wurden hier veröffentlicht. Bei der Untersuchung des Hackerangriffs war die Cybersecurity & Infrastructure Security Agency (CISA) involviert, die dazu einen eigenen Vorfallsbericht bereitstellt.
Weniger beruhigend waren die kurz darauf veröffentlichten Ergebnisse des Sicherheitsunternehmens Wiz (USA), nach denen die von Storm-0558 genutzten Schlüssel viel mächtiger gewesen seien, wie auch heise.de berichtete. Der erbeutete Signaturschlüssel gehöre zu einigen wenigen „private keys“ für die Microsoft Azure Identitätsverwaltung, die dem Signieren von Zugangstokens dienen. Mit diesem Signaturschlüssel wären die Angreifer laut Wiz im Stande gewesen, sich Zugang zu einer enormen Zahl an Microsoft Services zu verschaffen, der diesem private key vertraut. Um zu ermitteln, welche Microsoft Kunden durch diesen Vorfall betroffen seien, müsste eigentlich jeder Microsoft Kunde nunmehr selbst prüfen, ob die Angreifer sich auch dort Zugriff verschafft haben.
Ohne die von Wiz veröffentlichten Ergebnisse genauer zu kommentieren hat Microsoft nun ein sog. „Token theft playbook“ veröffentlicht. Dieses Playbook bietet den Tenant-Administratoren eine Anleitung, wie mit den administrativen Werkzeugen falsche Token erkannt werden können. Die zeitliche Nähe zum Angriff durch Storm-0558 wird wohl kaum Zufall sein – jedoch macht Microsoft bis dato keine weiteren Angaben, ob von dem Angriff noch mehr als die bereits genannte Zahl an Organisationen betroffen waren.
Was also tun? Was wird erwartet?
Als Tenant-Administrator können Sie nun in Erwägung ziehen, mit Hilfe des Playbooks einen Angriff auf Ihren Tenant im Zeitraum Mitte Mai bis Mitte Juni auszuschließen.
Doch wenn Sie prüfen und eine Kompromittierung Ihres Tenants ermitteln, sind Sie ab dem Zeitpunkt mit hoher Sicherheit verpflichtet, dies der Aufsichtsbehörde als Datenpanne zu melden.
Wieso also überhaupt den Aufwand betreiben? Nun, datenschutzrechtlich ist der Verantwortliche aufgrund seiner umfassenden Pflichten auch rechtlich gezwungen, einschlägigen Sicherheitswarnungen nachzugehen und die eigene Betroffenheit zu prüfen. Aus unserer Sicht sollten die Verantwortlichen in Europa kein unnötiges Risiko eingehen und selbst aktiv werden. Denn eines steht aktuell fest: Die zögerliche und aus unserer Sicht unvollständige Informationspolitik von Microsoft beweist, dass naives Vertrauen in Microsoft hier fehl am Platz ist.
Tilman Schmidt
17. August 2023 @ 15:43
Dieses „Token theft playbook“ zielt laut eigener Aussage darauf, Angriffe durch Diebstahl von Benutzer-Tokens zu erkennen. (Zitat: “A token theft attack occurs when threat actors compromise and replay tokens issued to a user.”) Storm-0558 hat keine Benutzer-Tokens gestohlen, sondern einen Master Signing Key. Das ist ein völlig anderes Szenario. Einen Angriff mittels dieses kompromittierten Master Key kann man meiner Einschätzung nach als Microsoft-Kunde nicht mit diesem Playbook ermitteln. Das könnte nur Microsoft selbst anhand interner Logs, auf die die Kunden keinen Zugriff haben.
Anonymous
12. August 2023 @ 13:12
Noch ein guter Kommentar bei Heise dazu: https://www.heise.de/meinung/20-Jahre-Blaster-Wurm-Der-naechste-Super-GAU-wartet-in-der-Cloud-9241438.html