{"id":283860,"date":"2023-07-17T11:21:32","date_gmt":"2023-07-17T09:21:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283860"},"modified":"2023-09-18T15:49:03","modified_gmt":"2023-09-18T13:49:03","slug":"nachlese-zum-storm-0558-cloud-hack-microsoft-tappt-noch-im-dunkeln","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/17\/nachlese-zum-storm-0558-cloud-hack-microsoft-tappt-noch-im-dunkeln\/","title":{"rendered":"Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln"},"content":{"rendered":"

[English<\/a>]Eine mutma\u00dflich in China angesiedelte Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war der Zugriff auf E-Mail-Konten von etwa 25 Organisationen in der Microsoft Cloud zu erhalten. In einer Nachlese hat Microsoft Ende letzter Woche noch einen \"umfangreichen\" Text mit einigen wenigen Informationen nachgeliefert, was passiert ist. Kurzfazit: Microsoft ist es wohl gelungen, den (durch Zufall von Kunden entdeckten und gemeldeten) Angriff nach Wochen zu unterbinden. Aber es ist weiterhin unklar, wie die Angreifer an einem missbrauchten Microsoft-Konto (MSA)-Kundenschl\u00fcssel gelangten, und (inzwischen korrigierte) Bugs im Azure Code haben wohl den Missbrauch des MSA-Keys erm\u00f6glicht.<\/p>\n

<\/p>\n

R\u00fcckblick: Hack von Outlook-Cloud-Konten<\/h2>\n

\"\"Mitte Juni 2023 wurde Microsoft von Kunden aus dem US-Au\u00dfenministerium dar\u00fcber informiert, dass seit Mitte Mai 2023 unbefugte Dritte Zugriff aus bestimmte E-Mail-Konten von Mitarbeitern hatten. Das Ganze war eine zuf\u00e4llig Entdeckung des Kunden, dem in der \u00dcberwachung ungew\u00f6hnliche Zugriffe auf Postf\u00e4cher aufgefallen waren. Die Untersuchung Microsofts ergab dann, dass es einer (mutma\u00dflichen chinesischen)\u00a0 Hackergruppe mit dem Namen Storm-0558 gelungen war, in die betreffenden Postf\u00e4cher einzudringen.<\/p>\n

Microsoft hatte zum 11. Juli 2023 den ersten Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email<\/a> ver\u00f6ffentlicht, in dem der Hack eingestanden wurde. Dort hie\u00df es, dass man einen Angriff eines in China ans\u00e4ssigen Bedrohungsakteurs (Storm-0558) auf Kunden-E-Mails entsch\u00e4rft habe. Die Gruppe Storm-0558 zielt laut Microsoft in erster Linie auf Regierungsbeh\u00f6rden in Westeuropa ab und konzentriert sich auf Spionage, Datendiebstahl und Zugriff auf Anmeldeinformationen.<\/p>\n

Ich hatte das Ganze im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> aufgegriffen und erl\u00e4utert, dass das Ganze brisanter war, als die Darstellung in Microsofts weichgesp\u00fcltem Beitrag erahnen l\u00e4sst. So steht fest, dass die Angreifer gef\u00e4lschte Authentifizierungstokens verwendeten, um auf die E-Mails von Benutzern zuzugreifen. Die ben\u00f6tigten Azure AD Authentifizierungstokens konnten sie \u00fcber einen internen Microsoft-Kontosignaturschl\u00fcssel (MSA) f\u00fcr Consumer generieren.<\/p>\n

Das K\u00fcrzel MSA steht f\u00fcr Microsoft Account. Der Begriff wird f\u00fcr den von Microsoft betriebenen Single-Sign-on-Dienst im Internet benutzt. MSA wird auf Microsoft-Servern in der Cloud verwaltet und die Anmeldung am Microsoft Konto kann dann f\u00fcr viele Webseiten und Dienste verwendet werden. Der obige letzte Satz besagt im Grunde: Die Anmeldung an einem \"privaten\", f\u00fcr Konsumenten vorgesehenen Microsoft Konto erm\u00f6glichten Authentifizierungstokens zu erstellen, mit denen auch auf Microsoft Azure AD (neuerdings als Microsoft EntraID bezeichnet) zugegriffen werden konnte.<\/p><\/blockquote>\n

Microsoft schrieb zwar, dass man die Verwendung der Authentifizierungstokens schnell unterbunden und sp\u00e4ter auch den MSA-Key widerrufen habe. Aber die Angreifer hatten viele Wochen Zugriff auf die Postf\u00e4cher von rund 25 Organisationen. Es stellte sich nat\u00fcrlich sofort die Frage: Wie sind die Angreifer von Storm-0558 an diesen privaten Microsoft-Kontosignaturschl\u00fcssel (MSA) gelangt? Und wieso l\u00e4sst sich dieser MSA-Key f\u00fcr Consumer verwenden, um Azure AD-Tokens zu f\u00e4lschen? Microsoft vermied in seinem Beitrag das Eingest\u00e4ndnis, dass es sich um Bugs und einen ausgenutzten 0-day handelt.<\/p>\n

Microsofts zweiter Bericht – vieles bleibt unklar<\/h2>\n

Vorigen Freitag, den 14. Juli 2023, hat Microsoft dann einen zweiten Bericht Analysis of Storm-0558 techniques for unauthorized email access<\/a> zu diesem Vorfall ver\u00f6ffentlicht. Dort wurde der Vorgang nochmals best\u00e4tigt und es hei\u00dft, dass die betroffenen Kunden direkt benachrichtigt wurden. Zudem seien die Zugriffe der Storm-0558-Gruppe unterbunden und die Infrastruktur geh\u00e4rtet worden.<\/p>\n

\"2nd<\/a><\/p>\n

Microsoft \u00fcberwacht \"die Situation\" und will weitere Schritte zum Schutz der Kunden unternehmen. Es ist ein umfangreicher Bericht mit sehr viel Text, der den Leser quasi mit sehr vielen Nebens\u00e4chlichkeiten erschl\u00e4gt. Interessanter sind aber folgende Informationen, die sich im Text finden.<\/p>\n

Unklar, wie Hacker an den MSA-Key kamen<\/h3>\n

Im ersten und zweiten Artikel best\u00e4tigt Microsoft, dass die Gruppe Storm-0558 einen sogenannten MSA-Consumer Signing Key (Signierschl\u00fcssel) verwendete, um Authentifizierungstoken f\u00fcr Azure AD Enterprise und MSA Consumer f\u00fcr den Zugriff auf OWA und Outlook.com zu f\u00e4lschen. Hierzu hei\u00dft es im Text:<\/p>\n

Storm-0558 acquired an inactive MSA consumer signing key and used it to forge authentication tokens for Azure AD enterprise and MSA consumer to access OWA and Outlook.com.<\/p>\n

[…]<\/p>\n

The method by which the actor acquired the key is a matter of ongoing investigation.<\/p><\/blockquote>\n

In den herausgezogenen S\u00e4tze gesteht Microsoft, dass man noch keine Ahnung hat, wie die Angreifer auf den intern bei Microsoft vorhanden MSA-Signierschl\u00fcssel zugreifen und diesen stehlen konnten. Im Text schreibt Microsoft: \"Die Methode, mit der der Akteur den Schl\u00fcssel erworben hat, ist Gegenstand laufender Ermittlungen.\"<\/p>\n

Der Schl\u00fcssel sei \"inaktiv\", sprich \"nicht in Verwendung\" gewesen, hei\u00dft es weiter. Die einzige Ma\u00dfnahme, die Microsoft ergreifen konnte, war die Tokens zu sperren und alle\u00a0 MSA-Schl\u00fcssel, die vor dem Vorfall aktiv waren (dazu geh\u00f6rt auch der von Storm-558 verwendete MSA-Signierschl\u00fcssel) f\u00fcr ung\u00fcltig zu erkl\u00e4ren.<\/p>\n

Bug in der Validierung<\/h3>\n

In obigem Text wird noch ein weiteres Problem offensichtlich. Wieso lassen sich mit einem inaktiven MSA-Signierschl\u00fcssel f\u00fcr Consumer Authentifizierungstoken f\u00fcr MSA Consumer und zus\u00e4tzlich auch f\u00fcr Azure AD Enterprise generieren, um denn den Zugriff auf OWA und Outlook.com zu erhalten? Von Microsoft hei\u00dft es im Originaltext nur:<\/p>\n

Though the key was intended only for MSA accounts, a validation issue allowed this key to be trusted for signing Azure AD tokens.<\/p><\/blockquote>\n

Zu Deutsch: Obwohl der Schl\u00fcssel nur f\u00fcr MSA-Konten gedacht war, konnte er aufgrund eines Validierungsproblems zum Signieren von Azure AD-Tokens verwendet werden. Oder im Klartext: Ein Bug im Validierungscode hat dazu gef\u00fchrt, dass die eigentlich ung\u00fcltigen Authentifizierungstoken akzeptiert wurden. Das Problem sei zwar korrigiert worden, schreibt Microsoft. Aber der Vorgang wirft ein besonderes Schlaglicht auf die Angelegenheit.<\/p>\n

Im Bericht von Microsoft liest sich das so, als ob das Unternehmen alles unternommen habe, den Angriff zu stoppen (stimmt zwar, aber als Storm-558 gemerkt hat, dass die Tokens gesperrt wurden, haben die in meinen Augen erkannt, dass der Vektor verbrannt ist und die Aktivit\u00e4ten zur\u00fcckgefahren). Da die Wege, wie die Angreifer an den MSA-Key kamen, unbekannt sind, w\u00e4re es theoretisch m\u00f6glich, dass die Gruppe den Ansatz erneut nutzt.<\/p>\n

Dazu merkt Microsoft aber an, dass die internen Ma\u00dfnahmen zur H\u00e4rtung und Isolierung die Mechanismen zum Zugriff per unauthorisiertem Authentifizierungstoken gewirkt h\u00e4tte. Seit Microsoft den vom Akteur erworbenen MSA-Signierschl\u00fcssel f\u00fcr ung\u00fcltig erkl\u00e4rt hat, wurden keine schl\u00fcsselbezogenen Aktivit\u00e4ten des Akteurs mehr beobachtet. Au\u00dferdem habe man gesehen, dass Storm-0558 zu anderen Techniken \u00fcbergegangen ist, was laut Microsoft darauf hindeutet, dass der Akteur nicht in der Lage ist, Signierschl\u00fcssel zu verwenden oder darauf zuzugreifen.<\/p>\n

Viele Worte aber wenig Klartext<\/h3>\n

Im Bericht erl\u00e4utert Microsoft umfangreich, was der Angreifer alles mit den gekaperten Konten anstellen und an Daten abziehen konnten und was man nach der Entdeckung zur H\u00e4rtung unternommen habe. Was aber in den Microsoft-Berichten tunlichst vermieden wird, ist von einer 0-day-Schwachstelle im Code zur Validierung der Tokens zu schreiben.<\/p>\n

Sicherheitsforscher Kevin Beaumont schrieb bereits anl\u00e4sslich des ersten Berichts von Microsoft, dass es f\u00fcr ihn so aussieht, als ob Redmond ein grober Fehler unterlaufen sei. In der nachfolgenden Diskussion auf Mastodon<\/a> zwischen Beaumont und Dan Goodin (betreut bei ArsTechnica Sicherheitsthemen) geht es darum, dass Microsoft ziemlich um den hei\u00dfen Brei herum schleicht, sobald es um die Rolle beim eigenen Cloud-Dienst geht.<\/p>\n

<\/a><\/p>\n

Die Schwachstellen in der Cloud<\/h2>\n

Der obige Sachverhalt und die obige Diskussion wirft einen Schatten auf die Frage \"wie sicher ist die (Microsoft) Cloud?\". Es wird ja h\u00e4ufig argumentiert, dass durch die Migration in die Cloud die Sicherheit automatisch erh\u00f6ht wird – weil sich der Cloud-Anbieter um die Absicherung k\u00fcmmere. Am Ende des Tages haben sich die Cloud-Nutzer aber nur eine \"Black Box\" gekauft, und k\u00f6nnen nur hoffen, dass darin nicht allzu viele Fehler und Schwachstellen enthalten sind.<\/p>\n

W\u00e4hrend bei On-Premises-L\u00f6sungen Updates verteilt und so ggf. Schwachstellen nicht nur behoben, sondern auch \u00f6ffentlich bekannt werden, bleibt die in der Cloud verwendete Software oft eine \"black box\". Der Au\u00dfenstehende erf\u00e4hrt nicht, ob und wann Schwachstellen in der Cloud-L\u00f6sung gepatcht wurden. Von Microsoft gibt es – laut Kevin Beaumont – keine CVE-Kennung f\u00fcr gefundene Schwachstellen in der Cloud. Nur wenn ein Sicherheitsvorfall \u00f6ffentlich wird, sieht sich der Cloud-Anbieter gen\u00f6tigt, ein paar Informationen offen zu legen.<\/p>\n

<\/a><\/p>\n

In diesem Kontext ist mir am Wochenende auch obiger Tweet vom crowstrike-Blog untergekommen, die im Beitrag Adversaries Can \"Log In with Microsoft\" through the nOAuth Azure Active Directory Vulnerability<\/a> ein weiteres Problem offen legen. Angreifer k\u00f6nnten sich \u00fcber die nOAuth-<\/em>Schwachstelle bei Microsofts Azure Active Directory in der Cloud anmelden, hei\u00dft es. Der Beitrag geht auf einen von Descope am 20. Juni 2023 ver\u00f6ffentlichten Beitrag<\/a> zur\u00fcck, in dem\u00a0 beschrieben wird, wie eine Kombination aus einer Schwachstelle in Azure Active Directory und schlecht integrierten Anwendungen von Drittanbietern (\"nOAuth\" genannt) – eine vollst\u00e4ndigen \u00dcbernahme von Cloud-Konten m\u00f6glich werde. nOAuth sei die j\u00fcngste in einer Vielzahl von Schwachstellen und architektonischen Schw\u00e4chen in Microsoft-Software und -Systemen wie Active Directory, die ausgenutzt werden k\u00f6nnen und Unternehmen in Gefahr bringen, hei\u00dft es.<\/p>\n

Erg\u00e4nzung:<\/strong> Frank Carius hat in diesem Artikel<\/a> noch einige Informationen und Gedanken zum Thema zusammen getragen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2
\nPowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie<\/a> – Teil 3<\/p>\n

Azure AD Hack? Seltsame Azure AD IP 20.119.0.42:443 \"safe-hse.com\" am 13. Juni 2023<\/a>
\nMicrosoft benennt AzureAD in Microsoft EntraID um<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Eine mutma\u00dflich in China angesiedelte Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war der Zugriff auf E-Mail-Konten von etwa 25 Organisationen in der Microsoft Cloud zu erhalten. In einer Nachlese hat Microsoft Ende letzter Woche noch einen \"umfangreichen\" Text mit einigen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,2334,426],"tags":[4375,1171,5754,4328],"class_list":["post-283860","post","type-post","status-publish","format-standard","hentry","category-cloud","category-outlook-com","category-sicherheit","tag-azure","tag-cloud","tag-micrsooft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283860","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283860"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283860\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283860"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283860"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283860"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}