Prolink Logo
PROLINK internet communications GmbH
Merzhauser Str. 4
79100 Freiburg
fon: +49 (0)761 456 989 0
fax: +49 (0)761 456 989 99
info@prolink.de
http://www.prolink.de

Microsoft Signing Key gestohlen

Mehreren Berichten zufolge ist es einer Hackergruppe gelungen, einen Microsoft Azure "account signing key" in Ihre Hände zu bekommen. Der Schlüssel hätte niemals ausserhalb einer geschützten Hardwareumgebung (einem Chip) existieren dürfen. Dieser wurde aber genutzt, um eigene Logins in fremde Accounts zu generieren. So wurden mehrere Netzwerke - auch deutscher Behörden und US-Regierungskonten - gehackt und z.B. Zugriff auf deren Emails erzwungen.


Der missbrauchte Sicherheitsschlüssel scheint durch einen Angriff auf die "SolarWinds" Monitoring Software entwendet worden zu sein [1], nachdem dies aufiel wurde er als ungültig markiert. Leider scheint er dennoch für gewisse Zeit erfolgreich von einer chinesischen Hackergruppe benutzt worden zu sein. Dabei wurde der Schlüssel weit über seine ursprüngliche Zuständigkeit hinaus erfolgreich eingesetzt - es lag offenbar ein Fehler in der Prüfung der Schlüssel vor. So konnte bis dato nicht einmal zwischen Consumer- und Enterprise Keys unterschieden werden.
Da der Schlüssel als "Signing Key" weit oben in der Hierarchie steht, könnte er inzwischen auch genutzt worden sein, um gültige untergeordnete Keys zu erzeugen und somit das gesamte System zu infiltrieren [2]. Es gibt aber bislang keine Beweise dafür, dass dies geschehen ist.


In einem als Storm-0558 genannten Angriff wurden unter Verwendung solcher selbst erzeugter Authentifizierungstoken Emails von Endbenutzern ausgespäht, wobei aufmerksame Administratoren das auffällige Verhalten erkannten und letztlich den Hack aufspürten[3]. Das Fazit lautet "da sich die Angreifer nur auf ausgewählte Kunden konzentriert hatten, dürfe es hoffentlich nicht andere Kunden betroffen haben" ....


Das betroffene System ist Microsofts eigene Active-Directory Plattform, welche für Azure-Cloud Dienste wie Outlook.com (oder Azure selbst) genutzt wird. Zu den Kunden (und somit Datensätzen dieses AD) zählen abertausende Firmen und Dienstleister, sowie Millionen Benutzer. Es ist nicht auszuschliessen, dass eine Zugriffsmöglichkeit der Hacker auf sämtliche Konten besteht oder zumindest bestanden hat. Aufgrund der beobachteten Strategien der feindseligen Akteure ist damit zu rechnen, dass hinterbliebene Zugriffsoptionen erst zu einem (weit) späteren Zeitpunkt erfolgen.


Security-Analysten gehen davon aus, dass sämtliche MS-365 Dienste (u.a. Outlook, SharePoint, OneDrive, Teams, Skype, Xbox ..) sowie Kundenanwendungen welche Microsofts Authentifizierung nutzen, potentiell betroffen sind[4]. Leider sind Angriffe für die Kunden nur dann überhaupt erkennbar, wenn diese den Premium-Service "Purview Audit logging" zu Extrakosten lizensiert hatten - ansonsten bleiben die Zugriffe unsichtbar.
Unternehmen, die Microsoft Cloud Apps nutzen und Nutzerrechte mit Microsoft Active Directory verwalten, sollten offenbar selbst aktiv werden um noch offene Sicherheitslücken zu schliessen: Protokolle nach Fremdzugriffen durchforsten sowie Authentifizierungen zurücksetzen. [5]
Auch ist dann eine Meldepflicht gemäß Art.33 DSGVO zu prüfen. PROLINK nutzt keinen der genannten Azure-Services im Zusammenhang mit Kundendaten.


RN


8.8.2023: Nachtrag zu [4] und [5]
14.8.2023: Korrekturen


[1] https://www.lawfaremedia.org/article/solarwinds-and-holiday-bear-campaign-case-study-classroom
[2] https://www.schneier.com/blog/archives/2023/08/microsoft-signing-key-stolen-by-chinese.html
[3.1] https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/?WT.mc_id=M365-MVP-6771

[3.2] https://www.msxfaq.de/cloud/security/storm-0558.htm
[4] https://www.bleepingcomputer.com/news/security/stolen-microsoft-key-offered-widespread-access-to-microsoft-cloud-services/
[5] https://www.matrix.ag/die-matrix/news/gestohlener-microsoft-masterkey-was-tun

Helpcenter IconHelpcenter