Warum der Microsoft-Hack problematischer ist, als wir glaub(t)en
28-7-2023
Eine Hackergruppe namens Storm-0558 hatte im Mai Zugriff auf Mails sowie andere Daten von US-Behörden. Dies wurde lange nicht bemerkt und die Tragweite unterschätzt. Dies lag offenbar nicht zuletzt an Microsoft.
Mitte Juli wurde bekannt, dass eine mutmasslich chinesische Hackergruppe namens Storm-0558 einen Cyberangriff lancierte. Daraus resultierte ein Zugriff auf Mails aus 25 verschiedenen Mail-Konten von US-Regierungsbehörden. Dieser Zugriff beschränkte sich aber nicht auf ein einmaliges Vorkommnis. Vielmehr lag die elektronische Korrespondenz den Angreifenden rund einen Monat lang offen. Der Startzeitpunkt des Hacks, im Mai, gilt als besonders kritisch. US-Aussenminister Tony Blinken traf sich mit chinesischen Regierungsvertretern in China, um über wichtige Geschäfte zu verhandeln.
Wie ist der Hack zustande gekommen?
Als Ursprung für den Hack von Storm-0558 gilt eine Schwachstelle in Microsofts Outlook-Web-Access (OWA) sowie in Outlook.com. Dem Hacker-Kollektiv ist es gelungen, einen Authentifizierungstoken für den Zugriff zu fälschen. So konnten sie sich als AAD-Nutzer (Azure Active Directory) ausgeben. Damit kamen sie durch den Validierungsprozess und gelangten in die Mail-Konten. Das dürfte so eigentlich nicht funktionieren. Gemäss der Servicebeschreibung von Microsoft wäre dieser Weg der Authentifizierung nur für Privatkonten vorgesehen, nicht aber für Business-Konten in AAD. Wie das gelingen konnte, kann (oder will) Microsoft bis dato nicht erklären.
Auch die «Cybersecurity & Infrastructure Security Agency» (CISA) beschwichtigt zunächst. Die Inhalte der betroffenen Mails seien harmlos gewesen. Auch Microsoft ging von einem Spionage- nicht aber um einen Sabotageversuch aus. Dieser sei aber kaum erfolgreich gewesen.
Wieso merkte das niemand?
Nun fördert der Hack allerdings Fragen und Probleme zutage, die deutlich weitreichender sind und nicht nur diesen Hack betreffen. So stellt sich zunächst die Frage, wieso das Ausmass des Hacks so spät klar wurde – nämlich vorletzte Woche, gut einen Monat nach den Zugriffen.
Die unerlaubten Zugriffe wurden erst durch ein gründliches Studium der detaillierten Log-Protokolle festgestellt – von einer US-Behörde. Um diese Protokolle einsehen zu können, ist ein Abonnement namens «Microsoft Purview Audit (Premium)» erforderlich. Dabei handelt es sich um ein Tool, das sehr detailliert alles protokolliert, was in einem System passiert. Das kostet extra und ist nicht in Microsofts Standard-Paket enthalten. Will (oder kann) sich ein Kunde dieses nicht leisten, bleibt er aussen vor. Oder kurz gesagt: Die Entdeckung wäre Kunden ohne dieses Zusatzabo verborgen geblieben.
Nebst Experten äusserten sich auch Politiker und Politikerinnen kritisch. Nicht ohne Grund: Die US-Regierung ist dabei, auf eine Cloud-basierte Cybersicherheitsstrategie zu setzen. Das steht in einer Medienmitteilung der CISA. Mit Vorkommnissen wie diesen werden die Pläne torpediert. Wie Microsoft nun verlauten liess, wolle man Purview Audit (Premium) zukünftig kostenlos in die Sicherheitslösung aufnehmen.
Master-Key gestohlen und nachgemacht
Wie sich jetzt herausstellt, könnte der Vorfall sehr viel weiterreichende Konsequenzen haben, als zunächst angenommen. Das Sicherheitsunternehmen Wiz behauptet, man habe den Microsoft-Key identifizieren können, mit dem die Hacker die Mails ausspionieren konnten. Dies mithilfe von Listen gültiger Signatur-Schlüsseln, die öffentlich verfügbar sind.
Bei dem entwendeten Schlüssel handle es sich nicht um einen kopierten Token, sondern um einen OpenID Signing Key für das AAD. Darunter kannst du dir eine Art Master-Key zu Microsofts Cloud-System vorstellen.
Wiz erklärt, ihren Erkenntnissen zufolge hätten die Angreifer nicht nur potenziellen Zugriff auf «Exchange Online» gehabt, welches von Microsoft gehostet wird. Vielmehr seien ihnen beinahe sämtliche Bereiche von Microsofts Cloud zugänglich gewesen. Also Office, Teams, Sharepoint und Outlook. Doch das ist scheinbar noch nicht alles. Denn wie Wiz weiter erklärt, könne der geklaute Schlüssel jeden OpenID-Zugriffstoken signieren. Dies wiederum würde bedeuten: Theoretisch könnten die Hacker sich zu jeder Cloud-App Zugang verschaffen, deren Identitätsvalidierung auf Azure Active Directory beruht. Egal, welche Firma dies beträfe. Auch Accounts, die «Login with Microsoft» anbieten, wären betroffen – etwa GitHub.
Microsoft hat den Schlüssel zwar nun gesperrt. Damit sollten also keine Zugriffe mehr möglich sein. Allerdings kann man nicht ausschliessen, dass bei zuvor kompromittierten Accounts ein Hintertürchen eingebaut wurde, sodass es diesen Schlüssel nun nicht mehr braucht.
Persönliche Einschätzung
Der von Wiz beschriebene Sachverhalt wurde von Microsoft so (noch) nicht bestätigt. Zwar habe ich kaum Zweifel an der Einschätzung von Wiz. Ob diese Möglichkeiten von den Hackern aber tatsächlich ausgenutzt wurden – und in welchem Umfang – bleibt vorerst offen. Erst müsste eine Überprüfung sämtlicher Microsoft-Konten, inklusive auf AAD beruhender, stattfinden. Doch wie soll das gehen? Wie dem auch sei: Die Geschichte ist ein Fiasko epischen Ausmasses für Microsoft. Zusätzlich ist die Strategie der Nicht-Kommunikation oder Kaum-Kommunikation absolut intransparent und meiner Meinung nach unangebracht. Das Kind ist in den Brunnen gefallen, jetzt sollte man die Konsequenzen daraus ziehen. Ansonsten leidet das Vertrauen in Microsoft mehr als ohnehin schon.
Titelbild:ShutterstockSeit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.