Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche

[English]Es ist schon einige Tage her, dass bekannt wurde, dass es Mitgliedern der mutmaßlich chinesischen Cybergruppe Storm-0558 gelungen ist, in die Exchange Online- und privaten outlook.com-Konten von 25 Organisationen einzudringen. Nun meldete sich ein US-Senator mit der Information, dass er gerade vom FBI informiert worden sei, dass sein persönliches E-Mail-Konto von diesem Hack betroffen war. Und weil wir gerade beim Thema sind, packe ich noch eine zweite Information mit in den Beitrag. Administratoren, die für die Betreuung der Microsoft Cloud in Unternehmen verantwortlich sind, müssen prüfen, ob die Tenants von diesem Hack betroffen waren. Gegebenenfalls ist dann eine Meldung über einen Datenschutzvorfall bei den zuständigen Behörden erforderlich.


Anzeige

Der Storm-0558-Angriff

Einer mutmaßlich in China angesiedelten Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war es im Juni 2023 gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.

Hintergrund war, dass die Angreifer in den Besitz eines privaten (MSA)-Kundenschlüssels für Microsoft-Konten gelangten. Dieser MSA-Key konnte benutzt werden, um Sicherheitstoken zu generieren (fälschen). Aber diese Sicherheitstokens ließen sich nicht nur für private Microsoft-Konten (z.B. Outlook.com) einsetzen. Auf Grund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und ermöglichten den Zugriff auf Azure AD-Konten (inzwischen IntraID-Konten genannt).

Ich hatte in diversen Blog-Beiträgen wie China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt (siehe Artikelende) über diesen Angriff berichtet. Nach einem Bericht der Sicherheitsforscher von Wiz ging der Sicherheitsvorfall aber viel weiter – Angreifer waren in der Lage, mit einem AAD-Schlüssel auch AAD-Tokens zu fälschen. Das bedeutet, dass Azure-Kundenanwendungen ebenfalls betroffen sein können (siehe GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten). Inzwischen fordern US-Politiker Konsequenzen (siehe Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1) und es gibt eine Überprüfung durch das US Cyber Safety Review Board.

Neue Opfer des Storm-0558-Angriffs

Nun wurden neue Opfer des oben erwähnten Hacks bekannt. Der Abgeordnete des US-Repräsentantenhauses, Don Bacon (aus Nebraska), teilte in einem Tweet mit, dass das FBI ihn am Montag (14. August 2023) darüber informiert habe, dass die chinesische Regierung "vom 15. Mai bis zum 16. Juni dieses Jahres in seine persönlichen und Wahlkampf-E-Mails eingedrungen ist".


Anzeige

New Storm-0558 victim

Bacon bezieht sich in seinem Tweet auf die oben erwähnte, bereits im Juli 2023 bekannt gewordene, Sicherheitslücke in der Microsoft-Cloud. Da der Hack bereits zwei Monate her ist, scheint das FBI erst jetzt Klarheit darüber zu bekommen, wer sonst noch alles betroffen ist – von Microsoft kam ja nur dünne PR, dass die bösen Hacker lediglich 25 Organisationen angegriffen hätten und in deren Postfächer eingedrungen wären. Dass die Angreifer einen Monat in den E-Mail-Konten herum spazieren konnten, ging in der Berichterstattung Microsofts weitgehend unter.

Bacon deutet an, dass es weitere Opfer dieser Cyberoperation gegeben habe. Techcrunch schreibt hier, dass die Hacker auch auf die Posteingänge der US-Handelsministerin Gina Raimondo und des US-Botschafters in China, Nicholas Burns, zugegriffen haben. Und es Hinweise, dass auch ein nicht namentlich genannter Mitarbeiter des Kongresses Ziel des Angriffs geworden sei. Bleibt die Frage, was da noch öffentlich wird. Ich hatte ja im Beitrag Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1 auf die teils haarsträubenden Details dieses "Hacks" hingewiesen.

Tenant-Administratoren haben Prüfpflicht

Ich schiebe hier mal einen weiteren Hinweis zu diesem Thema ein, da es dem obigen Hack doch allzu ruhig nach geblieben ist. Denn im Grunde ist die komplette Microsoft Cloud als kompromittiert anzusehen. Microsoft hat zwar einiges an Texten produziert und kürzlich auch eine Anleitung zur Überprüfung der Cloud auf gestohlene Sicherheitstokens veröffentlicht (siehe meinen Blog-Beitrag Microsoft veröffentlicht TokenTheft-Playbook).

Genau dieses TokenTheft-Playbook war der Aufhänger für den Blog-Beitrag Erfolgreicher Hackerangriff auf Microsoft Cloud – Microsoft reagiert (endlich) von Philip Kroll, Senior Berater Datenschutz Nord). Der relevante Teil des Beitrags, auf dem es mir ankommt, bezieht sich auf den datenschutzrechtlichen Aspekt. Philip Kroll schreibt dazu, dass der Verantwortliche für den Tenant-Einsatz aufgrund seiner umfassenden Pflichten auch datenschutzrechtlich gezwungen ist, einschlägigen Sicherheitswarnungen nachzugehen und die eigene Betroffenheit zu prüfen.

Tenant-Administratoren in Europa sollten, so der Ratschlag des Datenschutzberaters, aktiv werden und mit Hilfe des Playbooks prüfen, um einen Angriff auf Ihren Tenant im Zeitraum Mitte Mai bis Mitte Juni auszuschließen. Auf Microsoft und deren Informationspolitik solle man nicht vertrauen. Wird eine Kompromittierung des oder der Tenants festgestellt, seien die Datenschutzverantwortlichen ab dem Zeitpunkt mit hoher Sicherheit verpflichtet, dies der Aufsichtsbehörde als Datenpanne zu melden, heißt es von Kroll. Inzwischen stellt Microsoft seinen Kunden ja auch ein erweitertes Cloud-Logging bereit (siehe Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit).

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2

PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie


Anzeige

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche

  1. M.D. sagt:

    Na klasse!

    Erst die Leute in die Cloud locken und ihnen versprechen, dass sie sich in punkto Sicherheit um fast nichts kümmern müssen, das würden sie weitestgehend für ihre Kunden übernehmen.

    Dann aber mal so richtig den Karren vor die Wand fahren, ach was sag ich, eher mit Hyperschallgeschwindigkeit da rein donnern.

    Und dann die Krönung: das müsst ihr jetzt schon selber heraus finden, ob ihr auch von dem Vorfall betroffen seid. Anleitungen dazu findet ihr hier und hier und hier und hier …

    Tock, tock, tock, die spinnen, die Redmonder!

    Wofür zahlen die Kunden denn? Betrachten die ihre Kunden eigentlich als Kunden oder sind das für die nur … x$Y$&$z$.$+$*$ (Zensur)?

    :-\

    • Patrick sagt:

      Es gab einen Banküberfall, bitte prüfen Sie ob auch ihr Schließfach geöffnet wurde (ist aber nicht leicht zu erkennen, wir haben dafür eine Anleitung geschrieben, liegt im Keller auf, kommen Sie einfach vorbei)

  2. michael sagt:

    Das ganze Cloud-Gedöns kann keiner mehr kontrollieren. Höhere M$-Gewalt.

  3. Bolko sagt:

    Heißt die angebliche Hackergruppe
    Storm-0588
    oder
    Storm-0558

    Im Microsoft-Dokument steht 558 statt 588:
    www[.]microsoft[.]com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/

    In anderen Artikeln (nicht nur hier im Blog, sondern generell) steht mal 588 und mal 558.

    Die 5 symbolisiert in China die 5 Elemente (Feuer, Wasser, Erde, Holz und Metall),
    Die 8 symbolisiert in China das Glück (unendlich).

    Würde eine chinesische Hackergruppe eher die Elemente oder eher das Glück verdoppeln?
    China als "Reich der Mitte" würde die "Mitte" betonen, also die "5" auf dem NumPad.
    Außerdem geht es mit China aufwärts, also 0->55->8, und das sogar in "großen Sprüngen" ("Großer Sprung nach vorn", Kampagnen-Titel von Mao Zedong).

    Woher weiß man überhaupt, wie diese Hackergruppe heißt?
    Haben die auf den Servern eine info-Datei gespeichert?
    Eher nicht, denn die wollten unentdeckt bleiben, um länger mitlesen zu können.

  4. Hans sagt:

    Zitat: "von Microsoft als Storm-0558 bezeichnet" …sollte alles dazu sagen

  5. Daniel sagt:

    Hallo,
    hat dieses Tool von MS schon jemand getestet? Wie es scheint (und ich bin absolut keine M365 Profi!) benötigt man hier ja dann – je nachdem, welche Lizenzen man einsetzt – doch zusätzliche (kostenpflichtige?) Services.

    Ich zb habe AAD Sync (User/Gruppen/Passworthashes) von der lokalen Domäne in die MS Cloud aktiv, damit wir SSO (bei M365) machen können. Von der Lizenz her ist es nur "MS 365 Apps for business".

    Wenn ich mir jetzt das Playbook anschaue, benötige ich:
    einen SIEM, in dem Fall wohl Microsoft Sentinel.

    Das wiederum benötigt lt. MS:
    Be sure that your current plan allows for Microsoft Sentinel integration (for example, you have Microsoft Defender for Office 365 Plan 2 or higher), and that your account in Microsoft Defender for Office 365 or Microsoft 365 Defender is a Security Administrator. Finally, be sure that you have Write permissions in Microsoft Sentinel.

    Wir haben keine dieser Lizenzen (eben nur M365 Apps for business), dennoch haben wir eine Sync der Userlogindaten (u.a. Passworthash) in die "MS Cloud".

    Heißt für mich (Vemutung): Wenn ich wissen will, ob unsere Daten ebenso kompromittiert wurden, dann muss ich mir eine höherwertige Lizenz zulegen?

    • Michael sagt:

      Hallo Daniel,

      > Heißt für mich (Vemutung): Wenn ich wissen will, ob unsere Daten
      > ebenso kompromittiert wurden, dann muss ich mir eine
      > höherwertige Lizenz zulegen?

      durchaus berechtigter Gedankengang.
      Würde mich auch mal interessieren. ;-)

      Vielleicht kann jemand dazu noch etwas beitragen? Ist es richtig, dass man Sentinel bzw. Defender 365 zum überprüfen der Situation benötigt?

      • Daniel sagt:

        Danke für die Antwort. Das Ganze muss man sich echt auf der Zunge zergehen lassen. Da schießt Microsoft einen massiven Bock und dann darf man als Firma (ohne Schuld an dem Ganzen zu sein) selbst schauen, ob man kompromittiert ist.

        Dazu kommt dann noch, dass MS sehr viel zu diesem Thema schreibt. Aber eigentlich nichts Greifbares.

        Garniert letztlich dann noch mit den üblichen Lizenzwirren.

        Hab mir heute mal die vorhandenen Logs angesehen. Die gehen aber nur 14 Tage retour und man sieht dort nur Logins und Computerregistrierungen. Eigentlich nicht sehr aussagekräftig. Ich hab jetzt einfach mal die Loginzeiten durchgeschaut & ob die mit unseren Arbeitszeiten korrespondieren… (hilft aber euch nicht viel) ;-)

        Gott sei Dank gehen wir nicht voll in diese Cloud und setzen nur das absolut notwendige Übel ein. (Office)

  6. Torben sagt:

    Eine Kontrolle über das Token-Theft-Playbook ist nur möglich, wenn zur Zeit des Angriffs schon eine SIEM Lösung (in diesem Fall: Microsoft Sentinel) im Einsatz war und zusätzlich die Integration von Defender for Cloud Apps (E5 Feature) in diese SIEM Lösung vollzogen wurde. Zusätzlich müssten die Log-Retention hochgeschraubt werden, damit man hier bis mindestens zum 11.05.2023 zurück gehen kann.
    Also wer das alles nicht schon im Mai hatte und die Default-Retention-Policy in Sentinel von 30 Tagen auf ca. 120 Tage hochgedreht hat, kann den Vorfall nicht überprüfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.