Waarom de Microsoft-hack problematischer is dan aanvankelijk gedacht

Half juli werd bekend dat een vermoedelijke Chinese hackersgroep genaamd Storm-0558 een cyberaanval had uitgevoerd. Hierdoor kregen hackers toegang tot e-mails in 25 verschillende accounts van Amerikaanse overheidsinstanties. Dit was echter geen eenmalige inbraak. Hackers hadden ongeveer een maand lang toegang tot elektronische correspondentie. Het tijdstip waarop de hack begon - in mei - wordt als bijzonder kritiek beschouwd. Toen ontmoette de Amerikaanse minister van Buitenlandse Zaken, Tony Blinken, Chinese regeringsfunctionarissen in China om te onderhandelen over belangrijke zakendeals.

Hoe is de hack tot stand gekomen?

De oorsprong van de Storm-0558 hack ligt vermoedelijk in een zwakke plek in Microsofts Outlook Web Access (OWA) en Outlook.com. Het hackerscollectief slaagde erin een authenticatietoken te vervalsen om toegang te krijgen. Hierdoor konden ze zich voordoen als Azure Active Directory (AAD) gebruikers, door het validatieproces komen en toegang krijgen tot e-mailaccounts. Zo zou het eigenlijk niet moeten werken. Volgens de servicebeschrijving van Microsoft zou deze authenticatiemethode alleen mogelijk moeten zijn voor persoonlijke, niet voor zakelijke accounts in AAD. Microsoft kan (of wil) niet uitleggen hoe dit heeft kunnen gebeuren.

Het Cybersecurity & Infrastructure Security Agency (CISA) is voorlopig ook aan het pacificeren. De inhoud van de getroffen e-mails was onschadelijk. Microsoft ging er ook van uit dat het om een spionagepoging ging en niet om sabotage. Dit was echter nauwelijks succesvol.

Waarom heeft niemand het gemerkt?

Maar deze cyberaanval brengt nu vragen en problemen aan het licht die veel verder gaan en niet alleen betrekking hebben op deze hack. De eerste vraag is waarom de omvang van de hack pas zo laat aan het licht kwam - namelijk eergisteren, een dikke maand nadat hackers voor het eerst toegang kregen.

De inbreuk werd pas ontdekt na een grondige bestudering van gedetailleerde logprotocollen door een Amerikaanse instantie. Je hebt een abonnement genaamd Microsoft Purview Audit (premium) nodig om deze te bekijken. Dit is een tool die alles wat er in een systeem gebeurt tot in detail logt. Het kost extra en zit niet in het standaardpakket van Microsoft. Als een klant dit niet wil (of zich dit niet kan veroorloven), dan blijft hij hierover in het ongewisse. Kortom, klanten zonder dit abonnement zouden niet op de hoogte zijn geweest van dit datalek.

Het zijn niet alleen experts die hun kritiek hebben geuit; ook politici hebben zich bij de verontwaardiging aangesloten. En niet zonder reden. Volgens een persbericht van CISA staat de Amerikaanse overheid op het punt om te beginnen aan een cloudgebaseerde cyberbeveiligingsstrategie. Incidenten zoals deze hebben de plannen getorpedeerd. Zoals Microsoft nu heeft aangekondigd, zal Purview Audit (premium) voortaan gratis worden opgenomen in het beveiligingspakket.

Mastersleutel gestolen en gekopieerd

Zoals nu blijkt, kan het incident veel verdergaande gevolgen hebben dan aanvankelijk gedacht. Beveiligingsbedrijf Wiz beweert de Microsoft-sleutel te hebben geïdentificeerd die de hackers gebruikten om e-mails te doorzoeken. Dit wordt gedaan aan de hand van lijsten met geldige handtekeningsleutels, die openbaar beschikbaar zijn.

De gestolen sleutel was geen gekopieerd token. Het was eigenlijk een OpenID-signeringssleutel voor AAD. Zie het als een soort moedersleutel voor Microsofts cloudsysteem.

Wiz legt uit dat, volgens hun bevindingen, de aanvallers niet alleen potentiële toegang hadden tot Exchange Online, gehost door Microsoft, maar in feite tot bijna alle gebieden van Microsofts cloud. Met andere woorden, tot Office, Teams, Sharepoint en Outlook. Maar dat is blijkbaar nog niet alles. Zoals Wiz verder uitlegt, zou de gestolen sleutel elk OpenID toegangstoken kunnen ondertekenen. Dit zou op zijn beurt betekenen dat de hackers theoretisch toegang konden krijgen tot elke cloud app die Azure Active Directory gebruikte als identiteitscontrole, ongeacht het bedrijf. Er werd gemeld dat accounts die logins met Microsoft aanbieden ook getroffen zouden worden, zoals GitHub.

Microsoft heeft de sleutel nu geblokkeerd, wat betekent dat hackers geen toegang meer zouden moeten hebben. We kunnen echter niet uitsluiten dat de hackers een achterdeur hebben ingebouwd in eerder gecompromitteerde accounts, zodat ze deze sleutel niet meer nodig hebben.

Mijn persoonlijke beoordeling

Microsoft moet de door Wiz beschreven situatie nog bevestigen. Hoewel ik weinig twijfel heb over de beoordeling van Wiz, valt nog te bezien of hackers deze mogelijkheden inderdaad hebben uitgebuit, en zo ja, in welke mate. Om dat zeker te weten, zouden we eerst alle Microsoft accounts moeten bekijken, inclusief die op basis van AAD. Maar hoe zou dat in zijn werk gaan? Hoe dan ook, het verhaal is een fiasco van epische proporties voor Microsoft. Bovendien is de strategie van niet of nauwelijks communiceren niet transparant en, naar mijn mening, niet gepast. De schade is al aangericht, dus nu moet het bedrijf er lering uit trekken. Anders zal dit het vertrouwen in Microsoft nog meer aantasten dan voorheen.