{"id":285726,"date":"2023-09-07T03:35:16","date_gmt":"2023-09-07T01:35:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285726"},"modified":"2023-09-29T14:49:59","modified_gmt":"2023-09-29T12:49:59","slug":"microsofts-storm-0588-cloud-hack-schlssel-stammt-aus-windows-crash-dump-eines-pcs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/07\/microsofts-storm-0588-cloud-hack-schlssel-stammt-aus-windows-crash-dump-eines-pcs\/","title":{"rendered":"Microsofts Storm-0558 Cloud-Hack: Schl&uuml;ssel stammt aus Windows Crash Dump eines PCs"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/09\/07\/microsofts-storm-0588-cloud-hack-msa-key-comes-from-windows-crash-dump-of-a-pc\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Der Hack von Microsofts Azure-Cloud durch die mutma\u00dflich chinesische Gruppe Storm-0558 von Mai bis Juni 2023 war durch einen gestohlenen privaten MSA-Schl\u00fcssel und Bugs m\u00f6glich. Damals waren Konten bei Exchange Online und Outlook.com von 25 Organisationen gehackt worden. Unklar war, woher die Angreifer in den Besitz eines privaten MSA-Schl\u00fcssel gelangen konnten. Jetzt hat Microsoft bekannt gegeben, dass der MSA-Schl\u00fcssel aus einem sogenannten Windows Crash Dump stammte, der auf einem PC von Microsoft erzeugt und dann \u00fcber ein kompromittiertes System abgezogen wurde.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick: Storm-0558 Cloud-Hack<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/4d06769dcaf945b188de252a7a704f9d\" alt=\"\" width=\"1\" height=\"1\" \/>Im Juli 2023 wurde bekannt, dass es einer von Microsoft Storm-0558 genannten chinesischen Hackergruppe gelungen war, Zugang zu den in der Microsoft Cloud (Exchange Online, outlook.com) gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu geh\u00f6ren auch Regierungsbeh\u00f6rden (US-Au\u00dfenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.<\/p>\n<p>Die Angreifer waren im Besitz eines privaten (MSA)-Kundenschl\u00fcssels f\u00fcr Microsoft-Konten, und konnten diesen MSA-Key benutzen, um gefakte Sicherheitstoken (f\u00fcr OWA) zu generieren. Diese Sicherheitstokens lie\u00dfen sich auf Grund eines Verifizierungsbugs sowohl f\u00fcr Zugriffe auf private Microsoft-Konten (z.B. outlook.com) als auch f\u00fcr Zugriffe auf Azure AD-Konten und wohl auch Azure-Apps missbrauchen.<\/p>\n<p>Microsoft hatte das offiziell eingestanden, spielte aber den Vorfall herunter \u2013 ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> erstmals dar\u00fcber berichtet. Das Ganze entwickelte sich dann zu einem veritablen Sicherheits-GAU, denn die Angreifer tummelten sich beispielsweise seit Mai 2023 unerkannt in den Systemen. Erst als ein Kunde ungew\u00f6hnliche Aktivit\u00e4ten bemerkte, flog der Hack auf. Sicherheitsforscher von Wiz gaben an, dass eigentlich die gesamte Microsoft Cloud-Infrastruktur als potentiell kompromittiert angesehen werden m\u00fcsste. Die gesamte Entwicklung ist in zahlreichen Blog-Beitr\u00e4gen nachgezeichnet worden, die am Artikelende verlinkt sind. Unklar war aber, wie die die Angreifer an den privaten MSA-Kundenschl\u00fcssel gelangen konnten.<\/p>\n<h2>Microsoft nennt die Umst\u00e4nde des Schl\u00fcssel-Diebstahls<\/h2>\n<p>Nach vielen Wochen der Analyse glaubt Microsoft nun zu wissen, wie die chinesische Hackergruppe Storm-0558 an den privaten MSA-Kundenschl\u00fcssel gelangen konnte. Redmond hat das Ganze am 6. September 2023\u00a0 im Beitrag <a href=\"https:\/\/msrc.microsoft.com\/blog\/2023\/09\/results-of-major-technical-investigations-for-storm-0558-key-acquisition\/\" target=\"_blank\" rel=\"noopener\">Results of Major Technical Investigations for Storm-0558 Key Acquisition<\/a> offen gelegt.<\/p>\n<ul>\n<li>Es hei\u00dft zwar, dass Microsoft eine stark isolierte und eingeschr\u00e4nkte Produktionsumgebung unterh\u00e4lt, wo der Zugang auch kontrolliert wird. Dort wird die Verwendung von\u00a0 E-Mail, Konferenzen, Web-Recherche und anderen Tools blockiert.<\/li>\n<li>Aber au\u00dferhalb der eingeschr\u00e4nkten Produktionsumgebung werden nat\u00fcrlich PCs eingesetzt, auf denen\u00a0 E-Mail, Konferenzen, Web-Recherchen und andere Kollaborations-Tools zul\u00e4ssig und im Einsatz sind. Diese System sind dann auch anf\u00e4llig f\u00fcr Angriffe (per Spear-Pishing etc.).<\/li>\n<\/ul>\n<p>Und dann hat sogzusagen Mc Murphy zugeschlagen, d.h. wenn etwas schief geht, dann auch richtig. Microsofts Untersuchung f\u00fchrt zum Ergebnis, dass es im April 2021 zu einem Absturz des\u00a0 Signiersystems f\u00fcr Verbraucher\u00a0 kam. Dabei wurde ein Schnappschuss des abgest\u00fcrzten Prozesses (\"Crash Dump\") erzeugt. Normalerweise sollten solche Crash-Dumps keine sensiblen Informationen enthalten bzw. diese sollten unkenntlich gemacht werden. Im Klartext: In diesem Crash Dump h\u00e4tte niemals ein MSA-Signaturschl\u00fcssel enthalten sein d\u00fcrfen.<\/p>\n<p>Im aktuellen Fall trat jedoch einen sogenannte Race-Condition auf, so dass der private MSA-Kundenschl\u00fcssel im Crash-Dump enthalten war (dieses Problem wurde laut Microsoft inzwischen behoben). Der private MSA-Kundenschl\u00fcssel im Crash Dump wurde von Microsofts Sicherheitssystemen nicht erkannt (dieses Problem wurde ebenfalls behoben). An dieser Stelle werden also weitere \"Bugs\" eingestanden, die erst nach dem\u00a0 Vorfall beseitigt wurden.<\/p>\n<p>Weil kein Kontrollsystem anschlug, wurde der Crash-Dump dann aus dem isolierten Produktionsnetzwerk in die Debugging-Umgebung bei Microsoft verschoben. Dort sind die Rechner aber \u00fcber das Unternehmensnetzwerk mit dem Internet verbunden. Als der private Schl\u00fcssel nach dem April 2023 in der Unternehmensumgebung auf einem System lagerte, konnten die chinesischen Hacker der Storm-0558-Gruppe\u00a0 das Unternehmenskonto eines Microsoft-Ingenieurs kompromittieren. Dieses Konto hatte Zugriff auf die Debugging-Umgebung mit dem Crash Dump, in dem der private MSA-Kundenschl\u00fcssel ungewollt enthalten war.<\/p>\n<p>Microsoft besitzt zwar (aus regulatorischen Gr\u00fcnden, die die Richtlinien zur Aufbewahrung von Protokollen umfassen) keine Protokolle mit spezifischen Beweisen f\u00fcr die Exfiltration durch diesen Akteur. Redmond geht aber davon aus, dass dies der wahrscheinlichste Mechanismus war, \u00fcber den der Akteur den Schl\u00fcssel erworben hat.<\/p>\n<h2>Verdammt viele Zuf\u00e4lle, oder Insider-Job und Schlamperei?<\/h2>\n<p>Lassen wir doch mal die Erkl\u00e4rungen Microsofts etwas wirken. An dieser Stelle hat Microsoft zwar eine Vermutung ge\u00e4u\u00dfert, wie es wahrscheinlich gewesen sein k\u00f6nnte. Das l\u00e4sst sich zwar nicht von der Hand weisen, aber ein harter Beweis fehlt. Was mich jetzt als au\u00dfenstehenden Beobachter stutzig macht, ist diese Kette von unglaublichen Zuf\u00e4llen.<\/p>\n<ul>\n<li>Die chinesischen Angreifer konnten genau das Unternehmenskonto eines Microsoft-Ingenieurs kompromittieren, der zuf\u00e4llig Zugriff auf die Debug-Umgebung hatte.<\/li>\n<li>Und dann war auch noch der unwahrscheinliche Fall gegeben, dass dort zuf\u00e4lligerweise ein Crash-Dump des Vorfalls aus der Produktivumgebung lagerte.<\/li>\n<li>Und zuf\u00e4lligerweise enthielt dieser Crash-Dump auch noch diesen MSA-Schl\u00fcssel, der dort eigentlich nicht enthalten sein sollte, aber auf Grund einer Race-Condition doch vorlag.<\/li>\n<\/ul>\n<p>M\u00fc\u00dfig zu erw\u00e4hnen, dass die chinesischen Angreifer auch noch wussten, wo sie welche Dateien finden k\u00f6nnen, den Dump abziehen konnten, dann analysierten und in der w\u00fcsten Folge von Hex-zahlen den privaten MSA-Schl\u00fcssel isolieren konnten. Wenn man den Kommissar Kienzle im Tatort befragt, k\u00e4me sofort die Antwort \"So viele Zuf\u00e4lle gibt es nicht\".<\/p>\n<p>Und es gibt noch ein feines Detail, welches ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-feuer-von-der-us-politik-nach-microsofts-azure-cloud-gau-und-forderung-zum-microsoft-exit-teil-1\/\">Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1 offen gelegt hatte. Der bei obigem Hack verwendet MSA-Schl\u00fcssel wurde von Microsoft im Jahr 2016 erstellt und ist im Jahr 2021 abgelaufen. Es ist unglaublich und unerkl\u00e4rlich, dass dieser abgelaufene MSA-Key zur Generierung von Sicherheitstokens verwendet werden konnte. Und es ist auch nicht erkl\u00e4rbar, dass Microsoft \u00fcber einen einzigen \"Generalschl\u00fcssel\" verf\u00fcgt, mit dem Tokens f\u00fcr Zugriffe auf die Azure-Cloud und deren Dienste erzeugt werden k\u00f6nnen. Hier m\u00f6ge jeder Leser und jede Leserin eigene Schl\u00fcsse ziehen.<\/p>\n<h2>Warum der MSA-Schl\u00fcssel verwendbar war<\/h2>\n<p>Microsoft hat sich im oben verlinkten Artikel auch dazu ge\u00e4u\u00dfert, warum es \u00fcberhaupt m\u00f6glich war, mit einem privaten MSA-Konsumentenschl\u00fcssel Sicherheitstokens f\u00fcr Unternehmenskonten in Exchange Online und OWA zu erzeugen. Im September 2018 hat Microsoft einen gemeinsamen Endpunkt zur Ver\u00f6ffentlichung von Schl\u00fcsselmetadaten eingef\u00fchrt. Das war das Ergebnis einer wachsenden Kundennachfrage nach Unterst\u00fctzung von Anwendungen, die sowohl mit Verbraucher- als auch mit Unternehmensanwendungen arbeiten. Auch hier schlug Genosse Zufall zu:<\/p>\n<ul>\n<li>Microsoft stellte seinerzeit, als Teil einer bereits bestehenden Bibliothek mit Dokumentation und Hilfs-APIs, eine API zur Verf\u00fcgung, um die Signaturen kryptografisch zu validieren.<\/li>\n<li>Allerdings wurden die Bibliotheken, die die Validierung des Anwendungsbereichs automatisch durchzuf\u00fchren sollten, nicht aktualisiert &#8211; dieses Problem ist behoben.<\/li>\n<li>Die Mailsysteme, um den gemeinsamen Metadaten-Endpunkt im Jahr 2022 zu verwenden, wurden zwar aktualisiert. Die Entwickler im Mailsystem gingen f\u00e4lschlicherweise davon aus, dass die Bibliotheken eine vollst\u00e4ndige Validierung durchf\u00fchren, und f\u00fcgten die erforderliche Validierung des Ausstellers und des Geltungsbereichs nicht hinzu.<\/li>\n<\/ul>\n<p>In Konsequenz akzeptierte das Mailsystem eine Anfrage f\u00fcr Unternehmens-E-Mails mit einem Sicherheits-Token, das mit dem Verbraucherschl\u00fcssel signiert war (dieses Problem wurde mit den aktualisierten Bibliotheken inzwischen ebenfalls behoben). Auch hier kristallisiert sich heraus, dass eine Kette von Vers\u00e4umnissen dazu f\u00fchrte, dass der Verlust eines privaten MSA-Kundenschl\u00fcssels zu diesen Auswirkungen f\u00fchrte.<\/p>\n<h2>Abschlie\u00dfende 2 Cents<\/h2>\n<p>Die jetzt von Microsoft ver\u00f6ffentlichten Informationen sind zwar lobenswert. Aber auch hier m\u00f6ge jeder Leser und jede Leserin eigene Schl\u00fcsse ziehen, wie es um die Zuverl\u00e4ssigkeit Microsofts bestellt sein muss. Pers\u00f6nlich vergesse ich immer, dass es sich bei Microsoft um ein Gro\u00dfunternehmen mit sehr vielen Angestellten handelt &#8211; und in Gro\u00dfunternehmen geht schief, was schief gehen kann.<\/p>\n<p>Der Nimbus, dass Microsoft eine Firma mit geballter Kompetenz ist, die wissen, was sie tun, ist mit diesem Vorfall und den \u00f6ffentlich gewordenen Informationen auf jeden Fall pulverisiert worden. Und wenn ich dann sehe, wie Microsoft seine Kunden g\u00e4ngelt, wird es Zeit, das Unternehmen an die Kandare zu nehmen, in verschiedene Teile zu zerschlagen und harten Regularien zu unterziehen. Andernfalls wird Microsoft die gesamte IT-Welt mit den angebotenen Produkten in den Abgrund ziehen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/17\/nachlese-zum-storm-0558-cloud-hack-microsoft-tappt-noch-im-dunkeln\/\">Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/20\/microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit\/\">Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/22\/gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten\/\">GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/12\/microsofts-cloud-hack-berprfung-durch-us-cyber-safety-review-board\/\">Microsofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/15\/microsoft-cloud-hack-durch-storm-0588-us-senatoren-unter-den-opfern-prfpflicht-fr-europische-verantwortliche\/\">Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/21\/nachgehakt-zum-cloud-hack-durch-storm-0588-und-microsofts-schweigen\/\">Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/29\/mehr-als-60-000-e-mails-des-us-auenministeriums-beim-microsofts-storm-0558-cloud-hack-abgegriffen\/\">Mehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-feuer-von-der-us-politik-nach-microsofts-azure-cloud-gau-und-forderung-zum-microsoft-exit-teil-1\/\">Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-azure-schwachstelle-seit-mrz-2023-ungepatcht-schwere-kritik-von-tenable-teil-2\/\">Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/08\/26\/antworten-von-microsoft-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-1\/\">Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 1<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/26\/antworten-des-bundesdatenschutzbeauftragten-ulrich-kelber-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-2\/\">Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Hack von Microsofts Azure-Cloud durch die mutma\u00dflich chinesische Gruppe Storm-0558 von Mai bis Juni 2023 war durch einen gestohlenen privaten MSA-Schl\u00fcssel und Bugs m\u00f6glich. Damals waren Konten bei Exchange Online und Outlook.com von 25 Organisationen gehackt worden. Unklar war, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/09\/07\/microsofts-storm-0588-cloud-hack-schlssel-stammt-aus-windows-crash-dump-eines-pcs\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-285726","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285726"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285726\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}