{"id":284092,"date":"2023-07-22T10:36:29","date_gmt":"2023-07-22T08:36:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284092"},"modified":"2023-08-18T22:24:41","modified_gmt":"2023-08-18T20:24:41","slug":"gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/22\/gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten\/","title":{"rendered":"GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten"},"content":{"rendered":"

[English<\/a>]Die Tage musste Microsoft eingestehen, dass mutma\u00dflich chinesische Hacker der Gruppe Storm-0558 mittels eines gestohlenen privaten MSA-Schl\u00fcssels Sicherheitstokens f\u00e4lschen und dann breit auf Microsoft Cloud-Dienste zugreifen konnten. Es geht also nicht nur um die M\u00f6glichkeit, auf Konten bei Exchange Online und Outlook.com zuzugreifen, was Microsoft ja k\u00fcrzlich eingestanden hatte.<\/p>\n

<\/p>\n

Bisher bekannt: Outlook-Konten-Hack<\/h2>\n

\"\"Einer mutma\u00dflich in China angesiedelten Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war es im Juni 2023 gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu geh\u00f6ren auch Regierungsbeh\u00f6rden (US-Au\u00dfenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.<\/p>\n

Hintergrund war, dass die Angreifer in den Besitz eines privaten (MSA)-Kundenschl\u00fcssels f\u00fcr Microsoft-Konten gelangten. Dieser MSA-Key konnte benutzt werden, um Sicherheitstoken zu generieren (f\u00e4lschen). Aber diese Sicherheitstokens lie\u00dfen sich nicht nur f\u00fcr private Microsoft-Konten (z.B. Outlook.com) einsetzen. Auf Grund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und erm\u00f6glichten den Zugriff auf Azure AD-Konten (inzwischen IntraID-Konten genannt).<\/p>\n

Microsoft hatte das offiziell eingestanden, spielte aber den Vorfall herunter – ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> dar\u00fcber berichtet. In einem Beitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a> habe ich weitere Details, die von Microsoft in einem Folgebeitrag \u00f6ffentlich gemacht wurden, berichtet. So hat Microsoft zwar den MSA-Key (und weitere Keys) f\u00fcr ung\u00fcltig erkl\u00e4rt, sowie die Bugs im Code der Azure-Dienste beseitigt. Anschlie\u00dfen konnte man dann auch beobachten, dass die Angreifer auf andere Methoden auswichen. Aber Microsoft gestand in einem Artikel ein, dass bisher unbekannt war, wie die Storm-0588 genannte Gruppe \u00fcberhaupt an den intern bei Microsoft verwendeten (und eigentlich inaktiven) MSA-Key gelangen konnten. Klassisch haben die alten Griechen dies als Damoklesschwert bezeichnet.<\/p>\n

Breiter Zugriff auf Azure AD m\u00f6glich<\/h2>\n

Nun haben Sicherheitsforscher von Wiz \u00f6ffentlich gemacht, dass der Vorfall noch deutlich brisanter war, als \u00fcberhaupt von Microsoft eingestanden. Nachfolgender Tweet<\/a> von Ami Luttwak, CEO und Gr\u00fcnder von Wiz legt das offen.<\/p>\n

\"Wiz<\/a><\/p>\n

Die Kernaussage ist, dass der Microsoft Storm-0558 Vorfall viel gravierender als bisher bekannt sei. Der chinesischer Bedrohungsakteur hatte sich Zugang zu einem AAD-Schl\u00fcssel verschafft, mit dem AAD-Tokens signiert und gef\u00e4lscht werden k\u00f6nnen. Das bedeutet, dass Azure-Kundenanwendungen ebenfalls betroffen sein k\u00f6nnen. In einer Serie an Folge-Tweets werden Details offen gelegt, die den Wiz Sicherheitsforschern bekannt sind. Die Details lassen sich auch in diesem Wiz-Blogbeitrag<\/a> nachlesen.<\/p>\n

W\u00e4hrend Microsoft berichtet, dass die Bedrohungsakteure Exchange Online und outlook.com<\/a> kompromittiert haben, sei der tats\u00e4chliche Umfang der gef\u00e4hrdeten Anwendungen viel breiter gewesen, schreiben die Sicherheitsforscher. Denn Wiz Research hat den j\u00fcngsten Sicherheitsvorfall genauer unter die Lupe genommen. Dabei hat man festgestellt, dass es sich bei dem kompromittierten Microsoft-Schl\u00fcssel um einen \"Skelettschl\u00fcssel\" handelt, der f\u00fcr Microsofts MSA-Tenant in Azure genutzt werden kann. Das er\u00f6ffnet nicht nur den Zugang zu outlook.com und Exchange Online, sondern rei\u00dft die B\u00fcchse der Pandora weit auf. Denn mit dem Schl\u00fcssel lie\u00dfen sich auch Sicherheitstokens f\u00fcr Azure-Anwendungen generieren. Dazu hei\u00dft<\/a> es:<\/p>\n

The compromised Microsoft signing key potentially allows the threat actors to forge access tokens for ALL Microsoft's personal account services and any Azure Active Directory (AAD) applications supporting both multi-tenancy and Microsoft's OpenID v2.0 implementation.<\/p><\/blockquote>\n

Der kompromittierte Microsoft-Signierschl\u00fcssel erm\u00f6glicht es den Bedrohungsakteuren, Zugriffstoken f\u00fcr alle pers\u00f6nlichen Kontodienste von Microsoft und alle Azure Active Directory (AAD)-Anwendungen zu f\u00e4lschen, die sowohl Multi-Tenancy als auch die OpenID v2.0-Implementierung von Microsoft unterst\u00fctzen.<\/p>\n

Sprich: Der GAU ist da, denn es bedeutet, dass alle Anwendungen, die die Funktion \"Anmelden mit Microsoft\" verwenden, ebenfalls betroffen sein k\u00f6nnten. Wer das ganze potentielle Desaster erkennen will, kann dies in diesem Wiz-Blogbeitrag<\/a> nachlesen.<\/p>\n

Was k\u00f6nnen Admins tun?<\/h2>\n

Es ist zwar zu vermuten, dass die Storm-558-Hacker nur ausgesuchte Konten auf outlook.com und Exchange Online im Visier hatten. Aber es kann niemals ausgeschlossen werden, dass weitere Azure AD-Konten (Azure AD hei\u00dft inzwischen EntraID)\u00a0 im Rahmen dieser Aktion vorsorglich kompromittiert wurden.\u00a0 Nachfolgendes Bild gibt eine \u00dcbersicht, was an Anwendungstypen betroffen sein kann.<\/p>\n

\"Affected<\/a>
\nBetroffene Anwendungstypen; Quelle: Wiz<\/p>\n

Das umfasst von Azure Active Directory-Anwendungen (EntraID-Anwendungen), die \"Nur pers\u00f6nliche Microsoft-Konten\" unterst\u00fctzen und mit dem Microsoft-Protokoll v2.0 arbeiten, die\u00a0 betroffen sein k\u00f6nnen. Dazu geh\u00f6ren verwaltete Microsoft-Anwendungen wie Outlook, SharePoint, OneDrive und Teams sowie Kundenanwendungen, die die Microsoft-Konto-Authentifizierung unterst\u00fctzen (auch Anwendungen, die die Funktion \"Anmeldung mit Microsoft\" zulassen).<\/p>\n

Es betrifft potentiell aber auch jede Azure Active Directory-Anwendung, die \"mixed audience\" (oder multi-tenant) unterst\u00fctzt und mit dem Microsoft-Protokoll v2.0 arbeitet. Denn der Bedrohungsakteur konnte g\u00fcltige Zugriffstoken f\u00e4lschen und sich als Anwendungsbenutzer ausgeben, die sich mit ihrem pers\u00f6nlichen Microsoft-Konto angemeldet hatten.<\/p>\n

Administratoren sollten daher die Anwendungszugriffsprotokolle \u00fcberpr\u00fcfen, um sicherzustellen, dass diese Konten nicht von Storm-0558 betroffen sind. Weitere Tipps zur Vorbeugung und Fr\u00fcherkennung finden sich in diesem Wiz-Blogbeitrag<\/a>.<\/p>\n

Abschlie\u00dfende Gedanken<\/h2>\n

Wir hatten ja im Blog h\u00e4ufiger diskutiert, wie sicher oder unsicher die Cloud sei. Eines der Argumente f\u00fcr die Cloud war ja, dass sich der Anbieter dort um die Sicherheit k\u00fcmmert und in der Regel besser als kleine Firmen-ITs aufgestellt sei. Das Gegenargument war, dass man auf den Anbieter angewiesen sei und ein Hack (der als unwahrscheinlich angesehen wurde, bei Google ist mir bisher nichts dergleichen bekannt) der Cloud-Infrastruktur gleich viele Nutzer betrifft. Der obige Abriss hat jetzt die B\u00fcchse der Pandora weit ge\u00f6ffnet und eine Blick gew\u00e4hrt, wie wackelig die moderne IT mit weltweiter Vernetzung geworden ist.<\/p>\n

Erg\u00e4nzung:<\/strong> Laut diesem Artikel<\/a> bestreitet Microsoft, dass au\u00dfer outlook.com-Konten weitere Konten gehackt wurden. Viele der im Wiz Blogbeitrag aufgestellten Behauptungen seien, laut einem Microsoft-Sprecher \"spekulativ und nicht evidenzbasiert\". \"Wir haben au\u00dferdem vor kurzem die Verf\u00fcgbarkeit von Sicherheitsprotokollen erweitert und sie f\u00fcr mehr Kunden standardm\u00e4\u00dfig kostenlos gemacht, um Unternehmen bei der Bew\u00e4ltigung einer zunehmend komplexen Bedrohungslandschaft zu unterst\u00fctzen.\" hei\u00dft es vom Sprecher.<\/p>\n

Die Wiz-Forscher zeigten sich \u00fcberrascht \u00fcber die Reaktion von Microsoft und erkl\u00e4rten gegen\u00fcber Recorded Future News, dass ihr Blogbeitrag vom Microsoft Security Response Center Team \"\u00fcberpr\u00fcft und validiert\" wurde.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0588: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2
\nPowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie<\/a> – Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Tage musste Microsoft eingestehen, dass mutma\u00dflich chinesische Hacker der Gruppe Storm-0558 mittels eines gestohlenen privaten MSA-Schl\u00fcssels Sicherheitstokens f\u00e4lschen und dann breit auf Microsoft Cloud-Dienste zugreifen konnten. Es geht also nicht nur um die M\u00f6glichkeit, auf Konten bei Exchange Online … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[4375,1171,4328],"class_list":["post-284092","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-azure","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284092","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284092"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284092\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284092"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284092"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284092"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}