{"id":284486,"date":"2023-08-03T00:01:00","date_gmt":"2023-08-02T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284486"},"modified":"2023-08-02T18:15:31","modified_gmt":"2023-08-02T16:15:31","slug":"microsoft-verffentlicht-tokentheft-playbook","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/03\/microsoft-verffentlicht-tokentheft-playbook\/","title":{"rendered":"Microsoft veröffentlicht TokenTheft-Playbook"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kleiner Hinweis an Administratoren, die Dienste und Anwendungen in der (Microsoft-) Cloud verantworten bzw. verwalten. Der Diebstahl von Tokens kann Angreifern den Zugriff auf entsprechende Dienste erm\u00f6glichen. Als Folge eines entsprechenden Vorfalls hat Microsoft daher das sogenannte TokenTheft-Playbook ver\u00f6ffentlicht. Es handelt sich um ein Online-Dokument mit zahlreichen Hinweisen f\u00fcr \"Cloud-Verantwortliche\", die sich um die Sicherheit und den Schutz vor dem Diebstahl von Zugangstokens k\u00fcmmern m\u00fcssen.<\/p>\n

<\/p>\n

Das TokenTheft-Playbook<\/h2>\n

\"\"Es wird gerade auf Twitter von einigen Leute (zumindest von mir gef\u00fchlt) gro\u00df gefeiert – die Ver\u00f6ffentlichung des TokenTheft-Playbook. Nachfolgender Tweet weist beispielsweise auf dieses Thema hin.<\/p>\n

\"TokenTheft-Playbook\"<\/a><\/p>\n

Unternehmen verst\u00e4rken zwar ihre Sicherheitsvorkehrungen zur Absicherung ihrer Cloud-Pr\u00e4senz. Dazu geh\u00f6rt auch die Multifaktor-Authentifizierung (2FA), die dann mit Sicherheitstokens f\u00fcr den Zugang arbeitet. Aber Bedrohungsakteure verwenden immer ausgefeiltere Techniken, um Ressourcen in der Cloud (und auch On-Premises) zu kompromittieren. Eine der Gefahren ist dabei der Diebstahl von Sicherheitstokens durch Angreifer, sei es \u00fcber Schwachstellen oder \u00fcber andere Angriffsvektoren.<\/p>\n

Ein Token-Diebstahl-Angriff liegt vor, wenn Bedrohungsakteure die an einen Benutzer ausgegebenen Token kompromittieren und erneut abspielen, selbst wenn dieser Benutzer die Multifaktor-Authentifizierung erf\u00fcllt hat. Da die Authentifizierungsanforderungen erf\u00fcllt sind, erh\u00e4lt der Angreifer mit dem gestohlenen Token Zugriff auf Unternehmensressourcen.<\/p><\/blockquote>\n

F\u00fcr Unternehmen ist eine schnelle Reaktion erforderlich, einen solchen Diebstahl rechtzeitig zu erkennen, um Sch\u00e4den, die durch Token-Diebstahl-Angriffe entstanden sind, zu untersuchen, einzud\u00e4mmen und zu beheben. Genau hier versucht Microsoft nun mit Dokumentation anzusetzen. Beim TokenTheft-Playbook handelt es sich um eine Sammlung von Informationen, die Sicherheitsanalysten und Einsatzkr\u00e4ften eine Anleitung zur Identifizierung und Untersuchung von Token-Diebstahl-Angriffen in einem Unternehmen samt einem abzuarbeitenden Entscheidungsbaum bieten.<\/p>\n

Das Ganze l\u00e4sst sich online unter Microsoft Learn im Artikel Token theft playbook<\/a> (englisch) oder Playbook f\u00fcr Tokendiebstahl<\/a> (deutsch) abrufen. Die Hinweise beziehen sich ausschlie\u00dflich auf Cloud-Dienste Microsofts, wobei ein Zugriff auf Microsoft Entra-ID (fr\u00fcher Azure AD) sowie einige weitere Voraussetzungen gefordert sind. Die Details lassen sich auf den verlinkten Seiten nachlesen – ich kann mir daher deren Auflistung hier sparen.<\/p>\n

Was ist der Hintergrund?<\/h2>\n

Zum Hintergrund, warum Microsoft Ende Juli 2023 dieses Playbook ver\u00f6ffentlicht hat, kann man nur spekulieren. Ich denke aber , der Ausgangspunkt der Bem\u00fchungen Microsofts und der Ver\u00f6ffentlichung des TokenTheft-Playbooks ist der Skandal um den Hack diverser Microsoft-Dienste durch mutma\u00dflich chinesische Akteure. Es fliegt f\u00fcr mich gef\u00fchlt immer noch unter dem \"Radar der \u00d6ffentlichkeit\", was ich im Blog-Beitrag GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a> als \"Verdachtsfall\", der bisher nicht entkr\u00e4ftet wurde, berichtet.<\/p>\n

Zuerst musste Microsoft eingestehen, dass furchtbar b\u00f6se, aber sehr professionelle, vom Staat in China finanzierte Hacker in einige private und gesch\u00e4ftliche Postf\u00e4cher von Exchange Online und Outlook.com eindringen konnten. 25 Organisationen waren betroffen – davon auch das US-Au\u00dfenministerium – gemerkt hat es von Microsoft keiner – nur im US-Au\u00dfenministerium ist jemand in den Protokolldateien eine ungew\u00f6hnliche Aktion aufgefallen (siehe mein Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> sowie den Nachfolgebeitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>). Da tummelten sich die Angreifer aber bereits seit l\u00e4ngerem in der Infrastruktur Microsofts und dessen Kunden.<\/p>\n

Was da offenbart wurde, ist haarstr\u00e4ubend: Die mutma\u00dflich chinesischen Hacker der Gruppe Storm-0558 konnten mittels eines irgendwie erlangten privaten MSA-Schl\u00fcssels Sicherheitstokens f\u00fcr Exchange Online und Outlook.com generieren und dann ungehindert in die gew\u00fcnschten Postf\u00e4cher spazieren, um sich zu bedienen. Das hat Microsoft, verbr\u00e4mt mit viel Text, letztendlich eingestanden.<\/p>\n

Aber die b\u00f6se Saga geht leider weiter. Sicherheitsforscher von Wiz haben nach der Analyse des Falls und der bekannten Schl\u00fcssel \u00f6ffentlich gemacht, dass der Vorfall noch deutlich brisanter war, als von Microsoft eingestanden. Die Kernaussage von Wiz ist, dass der chinesischer Bedrohungsakteur Storm-0558 an einen AAD-Schl\u00fcssel gelangte, mit dem AAD-Tokens f\u00fcr alle Azure-Kundenanwendungen und -Dienste generiert werden konnten.<\/p>\n

Damit muss quasi die gesamte Microsoft Cloud prinzipiell als kompromittiert angesehen werden. Letztendlich m\u00fcsste es jetzt hei\u00dfen \"wirf raus das Zeugs, der Anbieter ist nicht zuverl\u00e4ssig, weil er sich quasi den Zentralschl\u00fcssel mit Zugang zu Allem klauen l\u00e4sst\". Aktuell greift niemand diese Frage wirklich lautstark auf, weil Alle irgendwie von Microsofts Cloud abh\u00e4ngig sind. Und Microsoft erzeugt momentan viel Papier, um von obigem Vorfall abzulenken und zu zeigen \"wir tun was\". Dass der Vorfall ein massives Versagen von Microsofts Organisationsstrukturen in Bezug auf die Cloud-Sicherheit offen legt, soll einem separaten Blog-Beitrag vorbehalten bleiben.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleiner Hinweis an Administratoren, die Dienste und Anwendungen in der (Microsoft-) Cloud verantworten bzw. verwalten. Der Diebstahl von Tokens kann Angreifern den Zugriff auf entsprechende Dienste erm\u00f6glichen. Als Folge eines entsprechenden Vorfalls hat Microsoft daher das sogenannte TokenTheft-Playbook ver\u00f6ffentlicht. Es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,672,4328],"class_list":["post-284486","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284486"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284486\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}