Ein Sicherheitsdrama in der Cloud
Microsoft steht weltweit seit Monaten in der Kritik für seinen Umgang mit aktuellen Sicherheitsverletzungen. Vor allem die zivilen US-Behörden haben inzwischen ein wachsames Auge auf Microsoft geworfen.
Bereits letztes Jahr hatten chinesische Angreifer mit dem Namen „Storm-0558“ den Generalschlüssel für weite Teile der Microsoft Cloud in der Hand. Dabei hatten die Angreifer wohl Zugriff auf nahezu alle Microsoft Cloud Anwendungen, wie zum Beispiel SharePoint oder Teams. Ob und wie diese Sicherheitslücken ausgenutzt wurden ist weiterhin unklar.
Der US-Konzern aus Redmond veröffentlichte inzwischen eigene Untersuchungen zum Sicherheitsvorfall. So wurde bekannt, dass bereits im April 2021 der Absturz eines Signatur-Systems dazu führte, dass ein Signaturschlüssel abhandenkam. An diesen Schlüssel gelangte die Hackergruppe "Storm-0558". Sie bekamen damit weitreichende Befugnisse innerhalb der Microsoft-Cloud.
Auch europäische Regierungsbehörden, die die von Microsoft gehostete Exchange Online Lösung einsetzen, waren vom Angriff betroffen
Sicherheitsforscher gehen aktuell davon aus, dass die Ausmaße noch viel gravierender und größer sind als bisher angenommen. Bei dem gestohlenen Schlüssel handelt es sich um OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD).
Laut heise.de sind davon auch selbst betriebene Azure AD Instanzen und deren Cloud Applikationen betroffen. Das wäre ein Sicherheitsvorfall biblischen Ausmaßes. Zwar hat Microsoft die verwendeten Schlüssel gesperrt, doch ist völlig unklar wer tatsächlich von diesen Angriffen betroffen ist. Bislang gibt es keine Belege dafür, dass die Angreifer diese Sicherheitslücken ausgenutzt haben. Das könnte jedoch auch an den von Microsoft nur sehr spärlich genannten Informationen und den eingeschränkten Möglichkeiten der Informationen liegen.
Peinlich
Der Signaturschlüssel hätte eigentlich gar keine gültigen Zugangs-Tokens ausstellen dürfen, denn er war für das im Businessbereich der Azure-AD-Welt angesiedelte Online-Exchange gar nicht zuständig. Es handelte sich nämlich um einen Key zum Signieren für Microsoft Accounts im Consumer-Bereich (MSA – entspricht dem, was früher Microsoft Live war). Warum dieser Masterkey trotzdem im Business-Dienst Azure AD funktionierte, ist unklar. Microsoft spricht lapidar von einem “validation issue” – und verschleiert damit das eigene Versagen.
Der nächste Angriff
Doch nicht nur chinesische Angreifer haben es auf die Kronjuwelen von Microsoft abgesehen. Im Januar 2024 gab Microsoft bekannt, dass die russische Angreifer-Gruppe „Midnight Blizzard“ erfolgreich Zugriff auf E-Mails von Mitarbeitern der Security-Abteilung von Microsoft gehabt hat.
Anscheinend hatten diese Angreifer bereits seit Ende November 2023 Zugriff auf diese hoch sensiblen Daten von Führungskräften.
Besonders alarmierend ist, dass die Angreifer über ein Standardpasswort Zugriff auf das System erhalten haben. Dabei war entweder die Multi-Faktor-Authentifizierung nicht aktiviert oder wurde über einen anderen Weg preisgegeben. Und diese Peinlichkeit betrifft nicht irgendwen, sondern die Sicherheitsabteilung von Microsoft.
Entdeckt wurde der Angriff nach eigenen Angaben am 12. Januar 2024.
Offenbar hatte also Microsoft bereits seit Monaten russische Angreifer in den eigenen Netzwerken, die sie einfach nicht loswerden. Russische Angreifer hatten also Zugriff auf E-Mails der Geschäftsleitung von Microsoft.
Das Department Informelle Security fordert nun eine grundlegende Neuausrichtung Microsofts zum Thema Informationssicherheit. Inzwischen gibt Microsoft zu, dass es ihnen einfach nicht gelingt die Angreifer unter Kontrolle zu bekommen. So wurden anscheinend über eine Million Dateien mit Passwörtern und anderen Zugangsdaten zu internen Microsoft-Diensten veröffentlicht.
Auch sollte man sich die Frage stellen, warum ein Sicherheitsvorfall in diesem Ausmaß so wenig Aufmerksamkeit in den Medien erhält. Auf jeden Fall muss der Umgang mit Microsoft Produkten und auch mit Cloud Produkten an sich grundsätzlich neu gedacht werden.
Wer hat den Schaden?
Microsoft verweist auf das Modell der geteilten Verantwortung für Angebote wie Microsoft 365. Für die Sicherheit von Konten und Identitäten ist nach Auffassung von Microsoft allein der Kunde verantwortlich. Microsoft selbst stellt hierfür verschiedene Überwachungs- und Schutzfunktionen bereit. Diese sind jedoch kostenpflichtig und viele Unternehmen scheuen eben diese Kosten.
Fazit
Das beunruhigende ist nicht, dass chinesische Angreifer den Master Key gestohlen haben, sondern dass es diesen Masterkey überhaupt gibt. Dabei stellt sich die Frage: Für wen war dieser Key gedacht, für Microsoft selbst oder für US-Behörden? Man sollte glauben, dass dies das Ende von Cloud-Diensten dieser Größe ist. Jedoch halten sich selbst das BSI und auch europäische Sicherheitsbehörden auffällig zurück.
Wir müssen davon ausgehen, dass die Angreifer Vollzugriff auf E-Mail, also Exchange Outlook, auf Dateien, also OneDrive oder SharePoint und auch auf Teams hatten.
Es ist also klar, dass eine Cloud-Umgebung nicht mehr ohne Ende-zu-Ende-Verschlüsselung betrieben werden kann. Nur zeigt der Vorfall auch, dass die beste Verschlüsselung nichts bringt, wenn der Angreifer den Schlüssel in der Tasche hat.
Unternehmen brauchen jetzt erweiterte Kontrollmechanismen und klare Standards für die eigenen Cloud-Umgebungen. Online-Zugänge müssen besser geschützt werden.
Wir empfehlen Ihnen zeitnah, die eigenen Cloud-Systeme zu prüfen und geeignete Regelungen zum Umgang mit der Cloud festzulegen.
Wie es scheint, ist das letzte Wort in diesem Drama noch nicht gesprochen.
Weiterführend
Autor: Markus Vatter, Head of Privacy & IT-Security, 19.04.2024
