Anzeige

Am Puls von Microsoft

Anzeige

Microsofts Analyse: Kette von Fehlern und Zufällen führte zum Diebstahl des Cloud-Schlüssels

DrWindows

Redaktion
Microsofts Analyse: Kette von Fehlern und Zufällen führte zum Diebstahl des Cloud-Schlüssels
von Martin Geuß
Security Titelbild


Im Juli wurde öffentlich, dass chinesische Angreifer in Microsofts Cloud eingedrungen waren und unter anderem die E-Mail-Konten von amerikanischen Regierungsbehörden und Politikern ausspähen konnten. Das gesamte Ausmaß dieses Angriffs ist wohl nach wie vor unbekannt, Experten sprechen davon, dass sich Microsoft gewissermaßen den Generalschlüssel für seine Cloud stehlen ließ und im Grunde jedes beliebige Cloud-Konto zugänglich gewesen wäre.

Es gab dementsprechend von Anfang an Kritik an Microsoft, die den Angriff der Hackergruppe “Storm-0588”, wie man sie bezeichnete, zwar als ernsten Sicherheitsvorfall dokumentierten, aber von einem begrenzten Umfang sprachen. Außerdem habe man die Angriffe nach ihrer Entdeckung schnell gestoppt. Unklar ist allerdings, wie lange sie davor unentdeckt blieben. Die Attacke war überhaupt erst entdeckt worden, weil sich Kunden wegen ungewöhnlicher Aktivitäten in ihren Konten an Microsoft gewandt hatten.

Jetzt hat Microsoft seine Analyse vorgelegt, wie die Storm-0588 Hacker überhaupt in den Besitz des Sicherheits-Tokens gelangen konnten. Diese Analyse liest sich als eine denkbar unglückliche Verkettung von Fehlern und Zufällen, die Microsoft am Ende zudem als den “wahrscheinlichsten Weg” bezeichnet. Protokolldateien, mit denen man das zuverlässig nachvollziehen können, will das Unternehmen nicht (mehr) haben.

Microsoft beschreibt zunächst, dass seine Cloud-Produktionsumgebung vom übrigen Firmennetzwerk streng abgeschottet ist und in dieser etwa keine Mail- oder Konferenzdienste verwendet werden dürfen, um typische Angriffswege zu blockieren.

Bei einem Absturz eines Prozesses innerhalb des Signatursystems für private Microsoft-Konten wurde ein Crash Dump erzeugt, der den Signaturschlüssel enthielt. Das hätte grundsätzlich nicht passieren dürfen, dieser Fehler ist laut Microsoft inzwischen auch behoben. Die Microsoft-Überwachungssysteme haben das Vorhandensein des Signaturschlüssels in diesem Crash Dump nicht erkannt – auch in diesem Punkt hat man inzwischen nachgebessert, heißt es.

Zur Analyse des Absturzes wurde dieser Crash Dump, von dem man fälschlicherweise annahm, keine sensiblen Daten zu enthalten, anschließend aus dem streng isolierten Produktionsnetzwerk in die Debugging-Umgebung übertragen, gelangte so also ins Microsoft-Unternehmensnetz, das wiederum mit dem Internet verbunden ist. Microsoft schreibt hierzu, dies sei die übliche Vorgehensweise bei der Fehleranalyse und das eigentliche Problem sei, dass die Methoden zur Überprüfung auf sensible Inhalte in diesem Fall versagt hatten.

Über das kompromittierte Konto eines Microsoft-Ingenieurs konnten sich die Storm-0558-Hacker schließlich Zugriff auf diesen Dump verschaffen und mit dem erbeuteten Schlüssel gültige Zugangs-Token zu anderen Cloud-Konten erzeugen.

Der Crashdump mit dem Signaturschlüssel stammt vom April 2021. Wann er tatsächlich abgegriffen wurde, kann Microsoft nach eigener Aussage nicht mehr nachvollziehen, aufgrund von Protokollaufbewahrungsrichtlinien hat man keine Protokolldateien, mit denen sich das nachweisen ließe.

Diese Analyse wirft neue Fragen auf, unter anderem die, woher denn die Hacker wussten, wonach und wo sie suchen müssen und wie das Konto des Microsoft-Mitarbeiters kompromittiert wurde. Bei dieser schier unglaublichen Aneinanderreihung von Fehlern und Zufällen wird es außerdem nicht Wenige geben, die diese Analyse insgesamt anzweifeln.

Microsoft geht dann zusätzlich noch auf die Frage ein, wie ein gestohlener Schlüssel für ein Privatkunden-Konto dafür verwendet werden konnte, Unternehmenskonten anzugreifen. Das liegt daran, dass Microsoft die Anmelde-Infrastruktur seit 2018 vereinheitlicht hat. Inzwischen habe man allerdings die Anmeldeprozedur um eine Bereichsüberprüfung erweitert, sodass ein solcher Übersprung in Zukunft nicht mehr möglich ist.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Danke Martin für den Bericht.
Wenn man das so liest, würde ich sagen: tja war halt einfach nur Pech. Systemabsturz mit unentdecktem Schlüssel drin, den man dann ausserhalb der Schleuse bringt und da ausgerechnet der eine infizierte Rechner die Analyse macht....
Aber schließlich hat man ja gelernt, und es kommt somit nicht wieder vor.
Wir sollten einfach alle User (und vor allem scheinbar auch Entwickler) auf 3FA, oder besser 4FA umstellen, dann kann sowas nicht mehr passieren :) Ich wäre z.B. für kleine Pikser im Daumen, mit denen man Bluttests machen kan
n.

Mal sehen, was die US Regierung jetzt macht, die sind ja wohl hauptsächlich betroffen.
PS: ok, ich merke, ich hätte Ironietags setzen sollen, deswegen den davon betroffen Teil jetzt in Lila markiert :)
 
Zuletzt bearbeitet:
Wenn man das so liest, würde ich sagen: tja war halt einfach nur Pech. Systemabsturz mit unentdecktem Schlüssel drin, den man dann ausserhalb der Schleuse bringt und da ausgerechnet der eine infizierte Rechner die Analyse macht....

Nein, der Rechner, auf den die Hacker Zugriff hatten, hatte u.a. seinerseits Zugriff auf die Debugging-Systeme.

Die interessante Frage ist eher, auf was der sonst noch so Zugriff hatte.
Wenn Hacker irgendwo einbrechen, werden sicherlich Crashdumps auf irgendwelchen Debugging-Systemen jetzt nicht das primäre Ziel sein. Dass man in solchen Dumps überhaupt einen passenden Schlüssel findet, ist ja schon sehr großer Zufall.

Man muss also grübeln, wie viel Zeit die Angreifer denn wohl hatten. Denn die werden sicherlich zuerst die offensichtlich lohnenswerten Dinge abgegriffen haben und sich danach erst sehr versteckten Dingen zugewendet haben.
 
Ich habe zu wenig "Szenewissen", aber ich könnte mir vorstellen, dass man über einen kompromittierten Account einfach so schnell wie möglich alles einsammelt, auf das man zugreifen kann, um es dann später in aller Ruhe auszuwerten. Es ist vielleicht gar nicht so abwegig, dass die Hacker in dem Moment gar nicht wussten, was sie da klauen, und erst später bei der Durchsicht in die Hände geklatscht haben.
 
hmm, wenn man darüber nachdenkt wird es nicht besser:
Ein Schlüssel von 2021 der immer noch funktioniert? Sollten die nicht nur begrenzt gültig sein?
Unbekannt, wann abgegriffen, also auch nbekannt wie lange der Account/Rechner gehackt war?
Die Logs werden gelöscht, aber der Dump lagert dort 2 Jahre?
 
Nach wie vor gibt es nur sehr wenige Berichte zum "Vorfall" und MS hüllt sich mehr oder weniger in Sprachlosigkeit aber Schweigen ist auch eine sehr "beredte" Aussage.
Auffällig ist, dass auch und gerade von den Betroffenen keine Reaktion erfolgt.

Das Vertrauen wird jedenfalls nicht dadurch gestärkt. Unter den Teppich des Vergessens kehren, ist auf Dauer keine empfehlenswerte Strategie.
 
https://www.washingtonpost.com/national-security/2024/04/02/microsoft-cyber-china-hack-report/
WashingtonPost schrieb:
Microsoft wird „Kaskaden“ von Fehlern bei chinesischem Hack vorgeworfen. Der Bericht des unabhängigen Cyber Safety Review Board wirft dem Technologieriesen miserable Cybersicherheitspraktiken, eine laxe Unternehmenskultur und einen bewussten Mangel an Transparenz vor.
"Mangel an Transparenz" eher bewußte Verschleierung Von Zufällen kann da wohl kaum noch die Rede sein.
Es ist eine scharfe Anklage gegen einen Tech-Titanen, dessen Cloud-Infrastruktur von Verbrauchern und Regierungen auf der ganzen Welt in großem Umfang genutzt wird.


Das Fazit der Kommission: Microsoft kann keine Sicherheit! Und schon gar nicht in der eigenen Cloud. Eine "Kaskade" von Fehlern, begangen von Microsofts bzw. dessen Mitarbeitern, ist für den Hack der Microsoft Cloud und der Microsoft Online Exchange-Konten verantwortlich.
Fazit: sechs minus, setzen....

PS: Bei dem Gedanken an KI in den Händen von Microsoft wird mir Angst und Bange
 
Zuletzt bearbeitet:
  • Danke!
Reaktionen: JCR
Einen weiteren guten Artikel gibt es hier. Diese Zitate muss man sich mal verinnerlichen:
"Indeed, the report concludes that Microsoft still doesn't know how Storm-0558 got the key – but advanced the "the key was in a crash dump" theory in September 2023 and kept the post that detailed it online for months after it knew the hypothesis may not be true."

"As The Register noted when the "Secure Future Initiative" was announced, it led with the magical powers of AI to improve security – even as Microsoft's human researchers failed to determine the cause of an incident that may have seen state secrets of its home nation leak."

Microsoft scheint demnach keine Ahnung zu haben, wie und wann der Schlüssel tatsächlich in die Hände der Cracker/Hacker gefallen ist. (Hmm, sind Storm-0558 nun die Guten oder die Bösen?) Sie wissen also auch nicht, wie lange der Zugriff bestand. Aber die "KI" wird die Sicherheit schon (Zugrunde)Richten.
 
Anzeige
Oben