{"id":283702,"date":"2023-07-13T00:25:35","date_gmt":"2023-07-12T22:25:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283702"},"modified":"2023-09-29T14:51:09","modified_gmt":"2023-09-29T12:51:09","slug":"china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/","title":{"rendered":"China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt"},"content":{"rendered":"

[English<\/a>]Eine mutma\u00dflich in China angesiedelte Hackergruppe, die Microsoft als Storm-0558 bezeichnet, ist es gelungen, Zugang zu E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu geh\u00f6ren auch Regierungsbeh\u00f6rden (US-Au\u00dfenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Brisant: Der Zugriff gelang mit einem Microsoft-Konto (MSA)-Kundenschl\u00fcssel, der benutzt wurde, um Token zu f\u00e4lschen. Ich fasse mal nachfolgend zusammen, was Microsoft und Sicherheitsforscher Kevin Beaumont sowie die CISA dazu sagen.<\/p>\n

<\/p>\n

Microsoft gesteht Hack von Outlook Online-Konten<\/h2>\n

\"\"Microsoft hat zum 11. Juli 2023 im Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email<\/a> bekannt gegeben, dass man einen Angriff eines in China ans\u00e4ssigen Bedrohungsakteurs (Storm-0558) auf Kunden-E-Mails entsch\u00e4rft habe. Die Gruppe Storm-0558 zielt laut Microsoft in erster Linie auf Regierungsbeh\u00f6rden in Westeuropa ab und konzentriert sich auf Spionage, Datendiebstahl und Zugriff auf Anmeldeinformationen.<\/p>\n

Aufgrund der von Kunden gemeldeten Informationen begann Microsoft am 16. Juni 2023 mit einer Untersuchung der anomalen E-Mail-Aktivit\u00e4ten. Im Laufe der n\u00e4chsten Wochen ergab Microsofts Untersuchung, dass sich Storm-0558 ab dem 15. Mai 2023 Zugang zu E-Mail-Konten von etwa 25 Organisationen, darunter auch Regierungsbeh\u00f6rden, sowie zu entsprechenden Privatkonten von Personen verschaffte, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.<\/p>\n

Sie taten dies, indem sie gef\u00e4lschte Authentifizierungstoken verwendeten, um mit einem erworbenen Microsoft-Kontosignaturschl\u00fcssel (MSA) auf die E-Mails von Benutzern zuzugreifen. Die Telemetrie zeige, dass Storm-0558 erfolgreich daran gehindert wurde, mit gef\u00e4lschten Authentifizierungstoken auf Kunden-E-Mails zuzugreifen, hei\u00dft es. Von den Kunden sind keine Ma\u00dfnahmen erforderlich. Wie bei allen beobachteten Aktivit\u00e4ten staatlicher Akteure hat Microsoft die betroffenen Organisationen direkt \u00fcber ihre Tenant-Administratoren kontaktiert, hei\u00dft es. Der oben verlinkte Beitrag sowie dieser Blog-Beitrag<\/a> enth\u00e4lt weitere Details.<\/p>\n

Microsoft hat wohl gepatzt<\/h2>\n

Sicherheitsforscher Kevin Beaumont hat auf Mastodon<\/a> einige Gedanken zu diesem Vorfall ver\u00f6ffentlicht. Beaumont schreibt, dass die Angreifer die Outlook Web App – die auf der Codebasis von Exchange Server l\u00e4uft – verwendet haben, um Token zur Umgehung der Autorisierung zu erstellen. Beaumont schreibt, dass Microsoft das im Blog-Beitrag geschickt formuliert habe, es sei nur OWA betroffen. OWA ist aber ein Teil von Microsoft 365 und Exchange Online.<\/p>\n

\"Kevin<\/a><\/p>\n

Brisant sind folgende Vermutungen von Beaumont: Es sieht f\u00fcr den Sicherheitsforscher so aus, als ob Microsoft ein grober Fehler unterlaufen ist. Ein MSA-Schl\u00fcssel f\u00fcr Consumer (der von Microsoft durchg\u00e4ngig verwaltet wird – es gibt keine externen Protokolle) lie\u00df sich verwenden, um jeden Azure AD-Schl\u00fcssel zu f\u00e4lschen. Beaumont vermutet, dass dies nur bekannt wurde, weil die US-Regierung Microsoft informiert hat. Dies erzwingt dann eine \u00f6ffentliche Bekanntgabe durch Microsoft.<\/p>\n

F\u00fcr mich neu war auch, dass Microsoft keine CVEs f\u00fcr Schwachstellen in Cloud-Diensten vergibt. Von Microsoft wurde der obige Sachverhalt in den Mitteilungen nicht als Schwachstelle bezeichnet. Der beim Angriff verwendete \"erworbene Microsoft-Konto (MSA) Consumer Signing Key\" muss laut Beaumont aus dem internen Netzwerk von Microsoft stammen. F\u00fcr Beaumont ist\u00a0 das F\u00e4lschen eines Tokens ist eine Schwachstelle (ein Zero Day).<\/p>\n

Der CISA-Bericht<\/h2>\n

Kevin Beaumont verweist darauf, dass der Bericht der CISA<\/a> (US Cybersecurity and Infrastructure Security Agency) da wesentlich ausf\u00fchrlicher und klarer als Microsofts Einlassungen sei. Im Juni 2023 stellte eine zivile Bundesbeh\u00f6rde (Federal Civilian Executive Branch, FCEB) verd\u00e4chtige Aktivit\u00e4ten in ihrer Microsoft 365 (M365) Cloud-Umgebung fest. Die Beh\u00f6rde (laut Wallstreet Journal<\/a> das US Au\u00dfenministerium) meldete die Aktivit\u00e4ten an Microsoft sowie die Cybersecurity and Infrastructure Security Agency (CISA). Microsoft stellte bei der Analyse fest, dass Advanced Advanced Persistent Threat (APT)-Akteure auf nicht klassifizierte Exchange Online Outlook-Daten zugegriffen und diese exfiltriert haben.<\/p>\n

Konkret fielen der betreffenden Bundesbeh\u00f6rde MailItemsAccessed<\/em>-Ereignisse mit einer unerwarteten ClientAppID <\/em>und AppID <\/em>in den M365 Audit-Logs auf. Das Ereignis \"MailItemsAccessed\" wird erzeugt, wenn lizenzierte Benutzer auf Elemente in Exchange Online-Postf\u00e4chern \u00fcber ein beliebiges Verbindungsprotokoll von einem beliebigen Client zugreifen.<\/p>\n

Die betreffende Beh\u00f6rde erachtete diese Aktivit\u00e4t als verd\u00e4chtig, da die beobachtete AppId <\/em>normalerweise nicht auf Postf\u00e4cher in ihrer Umgebung zugreift. Die Beh\u00f6rde meldete die Aktivit\u00e4t an Microsoft und die CISA. Microsoft stellte bei der Analyse fest, dass APT-Akteure auf nicht klassifizierte Exchange Online Outlook-Postf\u00e4cher zugriffen und Daten von einer kleinen Anzahl von Konten abzogen.<\/p>\n

Die APT-Akteure benutzten einen Microsoft-Konto (MSA)-Kundenschl\u00fcssel, um Token zu f\u00e4lschen und sich als Verbraucher- und Unternehmensbenutzer auszugeben. Microsoft hat das Problem behoben, indem Token, die mit dem erworbenen Schl\u00fcssel ausgestellt wurden, zuerst blockiert wurden. Sp\u00e4ter ersetzte man dann den Schl\u00fcssel, um weiteren Missbrauch zu verhindern.<\/p>\n

Es war also quasi ein Zufallsfund, weil die betreffende Bundesbeh\u00f6rde die erweiterte Protokollierung, insbesondere von MailItemsAccessed<\/em>-Ereignissen und einer etablierten Basislinie normaler Outlook-Aktivit\u00e4ten (z. B. erwartete AppID<\/em>) verwendete und so Verdacht sch\u00f6pfen konnte. Das MailItemsAccessed-<\/em>Ereignis erm\u00f6glicht die Erkennung von ansonsten schwer zu erkennenden feindlichen Aktivit\u00e4ten.<\/p>\n

Der Bericht der CISA<\/a> gibt an, dass andere logs die Aufdeckung wohl nicht erm\u00f6glicht h\u00e4tten. Beaumont merkt auf Mastodon an, dass die US-Regierung eine erweiterte Protokollierung, auch bekannt als Purview Audit (Premium)-Protokollierung, verwendet, um diese Aktivit\u00e4ten aufzusp\u00fcren. Vor einigen Jahren haben es zwischen der US-Regierung und Microsoft einen gro\u00dfen \u00f6ffentlichen Streit wegen der Kosten f\u00fcr den Zugang zu Purview Audit (Premium) gegeben. Hier hat sich der Zugang als Gl\u00fccksfall erwiesen. Der CISA-Bericht enth\u00e4lt in diesem Kontext noch einige Hinweise zur Erh\u00f6hung der Cloud-Sicherheit.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nMehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2
\nPowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie<\/a> – Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Eine mutma\u00dflich in China angesiedelte Hackergruppe, die Microsoft als Storm-0558 bezeichnet, ist es gelungen, Zugang zu E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu geh\u00f6ren auch Regierungsbeh\u00f6rden (US-Au\u00dfenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,2334,426],"tags":[1171,2564,4359,4328],"class_list":["post-283702","post","type-post","status-publish","format-standard","hentry","category-cloud","category-outlook-com","category-sicherheit","tag-cloud","tag-hack","tag-outlook-com","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283702","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283702"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283702\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283702"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283702"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283702"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}