{"id":286079,"date":"2023-09-18T11:33:44","date_gmt":"2023-09-18T09:33:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286079"},"modified":"2023-09-29T14:52:39","modified_gmt":"2023-09-29T12:52:39","slug":"interview-mit-kontrafunk-der-kleingeredete-hack-der-microsoft-cloud","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/18\/interview-mit-kontrafunk-der-kleingeredete-hack-der-microsoft-cloud\/","title":{"rendered":"Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud"},"content":{"rendered":"

Bei Microsoft gab es im Mai 2023 einen Zugriff auf die Cloud (Exchange Online) durch die mutma\u00dflich staatsnahe chinesische Hackergruppe Storm-0558. Offiziell bekannt ist, dass dabei E-Mail-Konten von 25 Organisationen gehackt wurden. Ich hatte die Entwicklung und die bisher bekannt gewordenen Fakten, Vers\u00e4umnisse und Fehler Microsofts im Blog in diversen Beitr\u00e4gen nachgezeichnet. Nun gibt es bei Kontrafunk ein Interview mit mir zu diesem Vorfall, wo der kleingeredete Vorfall nochmals beleuchtet und einige Einsch\u00e4tzungen gegeben werden.<\/p>\n

<\/p>\n

Der Storm-0558 Cybervorfall<\/h2>\n

\"\"Microsoft hat sich einen sogenannten MSA-Key klauen lassen, eine Art Generalschl\u00fcssel f\u00fcr die Azure Cloud. Laut einer Ver\u00f6ffentlichung von Microsoft im Juli 2023 wurde ein Angriff auf Kunden seines Exchange Online-Diensts, der in der Microsoft Azure Cloud bereitgestellt wird, festgestellt. Der Vorfall wird von Microsoft kein geredet, es seien nur wenige Kunden betroffen. Sicherheitsforscher haben aber herausgefunden, dass prinzipiell die gesamte Microsoft Cloud kompromittiert wurde.<\/p>\n

MSA-Schl\u00fcssel \u00f6ffnet die Microsoft Cloud<\/h3>\n

Betroffen waren laut Microsoft weitgehend nur E-Mail-Konten (privat und beruflich) von etwas 25 Organisationen \u2013 ein Gro\u00dfteil waren wohl im und f\u00fcr das US-Au\u00dfenministerium t\u00e4tig. Der Zugriff war f\u00fcr die Angreifer m\u00f6glich, weil diese an einen privaten sogenannten (MSA)-Kundenschl\u00fcssel herangekommen sind. Diese Schl\u00fcssel benutzt Microsoft intern f\u00fcr private Microsoft-Konten (outlook.com-Mails, etc.), um bei der Anmeldung ein sogenanntes Sicherheitstoken zu generieren.<\/p>\n

Mit diesem Sicherheitstoken, welches von Apps, einem E-Mail-Programm oder einer App verwendet wird, kann sich die Anwendung an allen Diensten dieses Kontos (OneDrive, Office, outlook.com, Skype etc.) automatisch anmelden. Die Angreifer waren damit in der Lage, sich mittels des MSA-Keys selbst Sicherheitstokens auszustellen. Sie konnten also ohne Zugangsdaten auf die gew\u00fcnschten E-Mail-Konten zugreifen. Microsoft beschuldigt die mutma\u00dflich staatsnahe chinesische Hackergruppe Storm-0558 f\u00fcr den Angriff verantwortlich zu sein.<\/p>\n

Ziemlich wenig an Informationen<\/h3>\n

Auff\u00e4llig war, dass Microsoft in einer ersten Meldung nur minimale Informationen zum Sachverhalt in einem sehr langen Text ver\u00f6ffentlichte (siehe auch China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>). Dort stellte sich Microsoft positiv dar, der Angriff wurde sofort durch Sperren des MSA-Schl\u00fcssels unterbunden, es waren nur 25 Organisationen betroffen, die wurden alle benachrichtigt. Tenor: \"Gehen Sie weiter, es ist nichts passiert.\"<\/p>\n

Erst im Laufe der Zeit kamen neue Eingest\u00e4ndnisse Microsofts hinzu (siehe Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>) und Informationen von Dritten (siehe GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>). Entdeckt wurde der Hack im Juni 2023, \u00f6ffentlich wurde es Anfang Juli 2023. Die Angreifer waren aber seit Mai 2023 unerkannt im System. Es geht im konkreten Fall wohl um die Ausforschung von Mitarbeitern des US-Au\u00dfenministeriums oder anderer staatlicher Stellen.<\/p>\n

Wie wurde das Leck entdeckt<\/h3>\n

Der Angriff wurde nicht durch Microsoft entdeckt\u00a0 sondern durch einen aufmerksamen Mitarbeiter der IT im US-Au\u00dfenministerium, dem ungew\u00f6hnliche Zugriffe aus einer App auf die E-Mail-Konten aufgefallen waren. Dieser meldet dies an Microsoft sowie die US Cybersecurity-Beh\u00f6rde CISA. Dabei wurde ein besonderes Problem sichtbar: Den meisten Kunden der Microsoft Cloud h\u00e4tte ein Angriff gar nicht auffallen k\u00f6nnen, da f\u00fcr die Beobachtung der Zugriffe eine besondere Software erforderlich ist, die Microsoft aber nur zahlenden Kunden bereitstellte.<\/p>\n

Das US-Au\u00dfenministerium hatte bei Beschaffung der Software geh\u00f6rig Druck auf Microsoft gemacht, so dass man diese \u00dcberwachungsfunktionen (Purview Audit (Premium) Protokollierung) kostenfrei bekam. Auf Grund dieses Vorfalls wird diese Funktionalit\u00e4t inzwischen allen Kunden kostenfrei bereitgestellt (siehe Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>).<\/p>\n

Potentiell ist die gesamt Microsoft Cloud betroffen<\/h3>\n

Brisant erschien mir bereits bei der ersten Ver\u00f6ffentlichung Microsofts, dass die Angreifer einen MSA-Schl\u00fcssel f\u00fcr Consumer in die Finger bekamen, aber mit diesem Schl\u00fcssel Sicherheitstokens f\u00fcr beliebige Azure Konten \u2013 auch Business-Konten \u2013 f\u00e4lschen konnten. Microsoft hat dann in Verlautbarungen eingestanden, dass Fehler in den Azure-Routinen zur Ausstellung\/\u00dcberpr\u00fcfung dieser Sicherheitstokens den Zugriff auf Consumer- und Business-Konten erm\u00f6glichte. Die Fehler sollen nun behoben sein.<\/p>\n

Sicherheitsforscher des Unternehmens Wiz haben sich die Details, die bisher \u00f6ffentlich wurden, dann nochmals genauer angesehen und kamen zum Schluss, dass der Sicherheits-GAU viel gr\u00f6\u00dfer als durch Microsoft eingestanden war (siehe GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>). Mit dem MSA-Schl\u00fcssel f\u00fcr Consumer konnten die Angreifer Sicherheitstokens zum Zugriff auf jedes beliege Azure-Konto f\u00e4lschen – potentiell war also jedes Azure-Konto und jede Azure-App von diesem Vorfall betroffen.<\/p>\n

Und es gibt noch eine weitere brisante Erkenntnis, die durch US-Senator Ron Wyden \u00f6ffentlich wurde (siehe auch Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1). Der bei obigem Hack verwendet MSA-Schl\u00fcssel wurde von Microsoft im Jahr 2016 erstellt und ist im Jahr 2021 abgelaufen. Es ist unglaublich und unerkl\u00e4rlich, dass dieser abgelaufene MSA-Key im Jahr 2023 zur Generierung von Sicherheitstokens verwendet werden konnte.<\/p>\n

Kette an Fehlern und Vers\u00e4umnissen<\/h3>\n

Geht man die Informationen durch, die in diesem Vorfall von Microsoft und Dritten \u00f6ffentlich geworden ist, zeigt sich eine Kette gravierender Fehler und Vers\u00e4umnisse durch Microsoft, die diesen Angriff erst erm\u00f6glichten.<\/p>\n