Hackern ist es gelungen, einen Microsoft-Hauptschlüssel zu stehlen. Besonders kritisch zu diesem Vorfall: Damit konnten sie auch auf Kundendaten in Azure, Outlook.com und Microsoft 365 zugreifen.
Wir erklären, was es mit dem Sicherheitsvorfall auf sich hat und wie Unternehmen herausfinden können, ob sie davon betroffen sind.
Hacker stehlen Microsoft-Hauptschlüssel
Angriffe auf Microsoft sind sozusagen an der Tagesordnung. Es zielt sowohl auf den Softwarekonzern selbst als auch auf (Unternehmens-) Kunden ab, die Microsoft-Softwareprodukte verwenden. Leider gelingt es den Angreifern immer wieder — und das ist auch jetzt wieder der Fall: Storm – 0558, eine Gruppe von Hackern aus China, hat es geschafft, einen Master-Signaturschlüssel (auch: Signaturschlüssel) von Microsoft zu erbeuten. Dieser Microsoft-Masterschlüssel ist so etwas wie ein Masterschlüssel zum Signieren von Zugriffstoken für die Azure Cloud. Besonders knifflig: Mit einem solchen Schlüssel können Hacker auch gefälschte Zugriffstoken erstellen und sich so Zugriff auf die Daten von Microsoft-Kunden verschaffen.
Nun wurde festgestellt, dass der Masterschlüssel nicht nur den Zugriff auf Kundendaten in der Azure-Cloud ermöglichte, sondern auch auf Daten in Outlook.com und Microsoft 365. Das Sicherheitsunternehmen Wiz warnt sogar davor, dass die Hacker möglicherweise auch auf Kunden-Apps in der Cloud zugreifen können, die das „Login with Microsoft“ verwenden — das Ausmaß dieses Vorfalls ist also immens!
War Ihr Unternehmen vom Diebstahl des Microsoft Master Keys betroffen? Bild: Unsplash/Windows
Diebstahl des Hauptschlüssels: Was ist passiert?
Der Diebstahl des Signaturschlüssels soll auf den Absturz eines Signaturservers zurückzuführen sein, der bereits im April 2021 stattgefunden hat. Im Rahmen des Serverabsturzes hat das Betriebssystem einen sogenannten Crash-Dump erstellt. Dies ist eine Datei, die Informationen über den Zustand des Systems zum Zeitpunkt des Absturzes enthält. Die Informationen sollen helfen, die Ursache des Absturzes zu ermitteln und zu beheben.
Das Problem: Die Daten aus dem Crash-Dump wurden aus dem sicheren Netzwerk des Signaturservers in ein unsicheres Netzwerk verschoben, vermutlich um den Serverabsturz zu untersuchen. Als ein Mitglied von Storm – 0558 erfolgreich das Firmenkonto eines Microsoft-Technikers kompromittieren konnte, verschaffte sich der Hacker Zugriff auf den Crash-Dump, der auch den besagten Microsoft-Masterschlüssel enthielt.
Experten kritisieren, dass die Sicherheitssysteme von Microsoft bei diesem Vorfall versagt haben, indem sie den Vorgang nicht protokolliert haben. Microsoft scheint auch an verschiedenen Stellen denselben Schlüssel verwendet zu haben — ein absolutes No-Go!
Haben Hacker Regierungsbehörden ausspioniert?
Es wird vermutet, dass die Storm-0558-Hacker den kompromittierten Microsoft-Hauptschlüssel verwendet haben, um die E-Mails amerikanischer und möglicherweise europäischer Behörden auszuspionieren. Microsoft veröffentlichte am 11. Juli 2023 zwei Blogbeiträge, in denen das Softwareunternehmen über die erfolgreichen Cyberangriffe auf E-Mails in Exchange Online und Outlook.com berichtete.
Demnach konnten die Angreifer seit dem 11. Mai 2023 auf die E-Mails von rund 25 Organisationen zugreifen, die Kunden der Microsoft Cloud waren. Darüber hinaus sollen die Hacker Zugriff auf mehrere private E-Mail-Konten der Mitarbeiter der betroffenen Organisationen gehabt haben. Nachdem die Angriffe am 16. Juni 2023 von einem betroffenen Kunden entdeckt wurden, hat Microsoft die ausgenutzten Sicherheitslücken sofort behoben.
Microsoft hat die betroffenen Regierungsbehörden über den Vorfall informiert. Die Behörden haben Ermittlungen eingeleitet, um das Ausmaß des Spionageprozesses festzustellen. Es ist noch nicht bekannt, ob und welche Daten gestohlen worden sein könnten, aber es ist durchaus möglich, dass es sich um sensible Daten handelt — darunter Regierungsangelegenheiten, militärische Informationen oder diplomatische Korrespondenz.
Microsoft ist immer wieder Ziel von Cyberangriffen. Bild: Unsplash/Windows
Microsoft möchte Kunden mit Playbook helfen
Microsoft hat inzwischen angekündigt, dass alle Sicherheitslücken bereits behoben wurden und dass weitere Sicherheitsmaßnahmen ergriffen werden, um zu verhindern, dass ein solcher Vorfall erneut auftritt. Unter anderem will Microsoft zusätzliche Sicherheitsmechanismen für Azure-Dienste einführen, noch enger mit Strafverfolgungsbehörden zusammenarbeiten, um Hacker-Gruppen aufzuspüren, und Kunden auch besser über Sicherheitsrisiken informieren.
Mit einem Playbook bietet Microsoft nun Kunden, die von dem aktuellen Sicherheitsvorfall betroffen sein könnten, Unterstützung an. Mithilfe dieses ausführlichen Leitfadens sollen Azure-Nutzer in der Lage sein, festzustellen, ob es in ihrer Organisation zu einem Tokendiebstahl gekommen ist und ob es Hintertüren und kompromittierte Zugriffe auf ihre Azure-Cloud gibt.
Der Leitfaden beschreibt auch, wie Kunden Microsoft Sentinel oder ein anderes SIEM-Tool (Security Information and Event Management) konfigurieren müssen, um alle relevanten Ereignisse und Protokolleinträge in den Bereichen Identitäten, Anmelde- und Auditprotokolle, Office-Apps und Geräte zusammenzuführen und ungewöhnliche Aktivitäten zu erkennen. Es enthält auch Informationen darüber, wie ein Kompromiss erkannt und gegebenenfalls eingedämmt werden kann und wie eine sichere Situation wiederhergestellt werden kann.
Wir helfen mit Schutzmaßnahmen
Klingt das alles furchtbar spezialisiert und kompliziert? Zugegeben, es ist nicht einfach, sich im Microsoft-Universum auszukennen und es sicher einzurichten. Um den Gefahren, die eigentlich ständig durch Cyberkriminalität bedroht sind, adäquat zu begegnen, bedarf es also besonderer Expertise. Es ist gut, dass es professionelle IT-Dienstleister gibt, die über ein solches Fachwissen verfügen und es in den Dienst von Unternehmenskunden stellen.
Wir helfen Ihnen gerne bei der Untersuchung, ob der aktuelle Microsoft-Sicherheitsvorfall auch Ihr Unternehmen gefährdet. Aber auch wenn Ihr Unternehmen von diesem speziellen Sicherheitsvorfall nicht betroffen ist, ist immer Vorsicht geboten. Denn: Seit Monaten warnt das Softwareunternehmen davor, dass verschiedene Hackergruppen massiv lokal betriebene Exchange-Server und -Dienste in Microsoft 365 angreifen — zum Beispiel Microsoft Teams. Wir helfen Ihnen dabei, sich bestmöglich davor zu schützen!
Weitere Informationen:
Security Insider, heise, heise, heise, Microsoft
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.
Lesen Sie den Originalartikel auf IT-SERVICE.network