DrWindows
Redaktion
Microsofts Analyse: Kette von Fehlern und Zufällen führte zum Diebstahl des Cloud-Schlüssels
von Martin Geuß
Im Juli wurde öffentlich, dass chinesische Angreifer in Microsofts Cloud eingedrungen waren und unter anderem die E-Mail-Konten von amerikanischen Regierungsbehörden und Politikern ausspähen konnten. Das gesamte Ausmaß dieses Angriffs ist wohl nach wie vor unbekannt, Experten sprechen davon, dass sich Microsoft gewissermaßen den Generalschlüssel für seine Cloud stehlen ließ und im Grunde jedes beliebige Cloud-Konto zugänglich gewesen wäre.
Es gab dementsprechend von Anfang an Kritik an Microsoft, die den Angriff der Hackergruppe “Storm-0588”, wie man sie bezeichnete, zwar als ernsten Sicherheitsvorfall dokumentierten, aber von einem begrenzten Umfang sprachen. Außerdem habe man die Angriffe nach ihrer Entdeckung schnell gestoppt. Unklar ist allerdings, wie lange sie davor unentdeckt blieben. Die Attacke war überhaupt erst entdeckt worden, weil sich Kunden wegen ungewöhnlicher Aktivitäten in ihren Konten an Microsoft gewandt hatten.
Jetzt hat Microsoft seine Analyse vorgelegt, wie die Storm-0588 Hacker überhaupt in den Besitz des Sicherheits-Tokens gelangen konnten. Diese Analyse liest sich als eine denkbar unglückliche Verkettung von Fehlern und Zufällen, die Microsoft am Ende zudem als den “wahrscheinlichsten Weg” bezeichnet. Protokolldateien, mit denen man das zuverlässig nachvollziehen können, will das Unternehmen nicht (mehr) haben.
Microsoft beschreibt zunächst, dass seine Cloud-Produktionsumgebung vom übrigen Firmennetzwerk streng abgeschottet ist und in dieser etwa keine Mail- oder Konferenzdienste verwendet werden dürfen, um typische Angriffswege zu blockieren.
Bei einem Absturz eines Prozesses innerhalb des Signatursystems für private Microsoft-Konten wurde ein Crash Dump erzeugt, der den Signaturschlüssel enthielt. Das hätte grundsätzlich nicht passieren dürfen, dieser Fehler ist laut Microsoft inzwischen auch behoben. Die Microsoft-Überwachungssysteme haben das Vorhandensein des Signaturschlüssels in diesem Crash Dump nicht erkannt – auch in diesem Punkt hat man inzwischen nachgebessert, heißt es.
Zur Analyse des Absturzes wurde dieser Crash Dump, von dem man fälschlicherweise annahm, keine sensiblen Daten zu enthalten, anschließend aus dem streng isolierten Produktionsnetzwerk in die Debugging-Umgebung übertragen, gelangte so also ins Microsoft-Unternehmensnetz, das wiederum mit dem Internet verbunden ist. Microsoft schreibt hierzu, dies sei die übliche Vorgehensweise bei der Fehleranalyse und das eigentliche Problem sei, dass die Methoden zur Überprüfung auf sensible Inhalte in diesem Fall versagt hatten.
Über das kompromittierte Konto eines Microsoft-Ingenieurs konnten sich die Storm-0558-Hacker schließlich Zugriff auf diesen Dump verschaffen und mit dem erbeuteten Schlüssel gültige Zugangs-Token zu anderen Cloud-Konten erzeugen.
Der Crashdump mit dem Signaturschlüssel stammt vom April 2021. Wann er tatsächlich abgegriffen wurde, kann Microsoft nach eigener Aussage nicht mehr nachvollziehen, aufgrund von Protokollaufbewahrungsrichtlinien hat man keine Protokolldateien, mit denen sich das nachweisen ließe.
Diese Analyse wirft neue Fragen auf, unter anderem die, woher denn die Hacker wussten, wonach und wo sie suchen müssen und wie das Konto des Microsoft-Mitarbeiters kompromittiert wurde. Bei dieser schier unglaublichen Aneinanderreihung von Fehlern und Zufällen wird es außerdem nicht Wenige geben, die diese Analyse insgesamt anzweifeln.
Microsoft geht dann zusätzlich noch auf die Frage ein, wie ein gestohlener Schlüssel für ein Privatkunden-Konto dafür verwendet werden konnte, Unternehmenskonten anzugreifen. Das liegt daran, dass Microsoft die Anmelde-Infrastruktur seit 2018 vereinheitlicht hat. Inzwischen habe man allerdings die Anmeldeprozedur um eine Bereichsüberprüfung erweitert, sodass ein solcher Übersprung in Zukunft nicht mehr möglich ist.
Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.
Artikel im Blog lesen
von Martin Geuß
Im Juli wurde öffentlich, dass chinesische Angreifer in Microsofts Cloud eingedrungen waren und unter anderem die E-Mail-Konten von amerikanischen Regierungsbehörden und Politikern ausspähen konnten. Das gesamte Ausmaß dieses Angriffs ist wohl nach wie vor unbekannt, Experten sprechen davon, dass sich Microsoft gewissermaßen den Generalschlüssel für seine Cloud stehlen ließ und im Grunde jedes beliebige Cloud-Konto zugänglich gewesen wäre.
Es gab dementsprechend von Anfang an Kritik an Microsoft, die den Angriff der Hackergruppe “Storm-0588”, wie man sie bezeichnete, zwar als ernsten Sicherheitsvorfall dokumentierten, aber von einem begrenzten Umfang sprachen. Außerdem habe man die Angriffe nach ihrer Entdeckung schnell gestoppt. Unklar ist allerdings, wie lange sie davor unentdeckt blieben. Die Attacke war überhaupt erst entdeckt worden, weil sich Kunden wegen ungewöhnlicher Aktivitäten in ihren Konten an Microsoft gewandt hatten.
Jetzt hat Microsoft seine Analyse vorgelegt, wie die Storm-0588 Hacker überhaupt in den Besitz des Sicherheits-Tokens gelangen konnten. Diese Analyse liest sich als eine denkbar unglückliche Verkettung von Fehlern und Zufällen, die Microsoft am Ende zudem als den “wahrscheinlichsten Weg” bezeichnet. Protokolldateien, mit denen man das zuverlässig nachvollziehen können, will das Unternehmen nicht (mehr) haben.
Microsoft beschreibt zunächst, dass seine Cloud-Produktionsumgebung vom übrigen Firmennetzwerk streng abgeschottet ist und in dieser etwa keine Mail- oder Konferenzdienste verwendet werden dürfen, um typische Angriffswege zu blockieren.
Bei einem Absturz eines Prozesses innerhalb des Signatursystems für private Microsoft-Konten wurde ein Crash Dump erzeugt, der den Signaturschlüssel enthielt. Das hätte grundsätzlich nicht passieren dürfen, dieser Fehler ist laut Microsoft inzwischen auch behoben. Die Microsoft-Überwachungssysteme haben das Vorhandensein des Signaturschlüssels in diesem Crash Dump nicht erkannt – auch in diesem Punkt hat man inzwischen nachgebessert, heißt es.
Zur Analyse des Absturzes wurde dieser Crash Dump, von dem man fälschlicherweise annahm, keine sensiblen Daten zu enthalten, anschließend aus dem streng isolierten Produktionsnetzwerk in die Debugging-Umgebung übertragen, gelangte so also ins Microsoft-Unternehmensnetz, das wiederum mit dem Internet verbunden ist. Microsoft schreibt hierzu, dies sei die übliche Vorgehensweise bei der Fehleranalyse und das eigentliche Problem sei, dass die Methoden zur Überprüfung auf sensible Inhalte in diesem Fall versagt hatten.
Über das kompromittierte Konto eines Microsoft-Ingenieurs konnten sich die Storm-0558-Hacker schließlich Zugriff auf diesen Dump verschaffen und mit dem erbeuteten Schlüssel gültige Zugangs-Token zu anderen Cloud-Konten erzeugen.
Der Crashdump mit dem Signaturschlüssel stammt vom April 2021. Wann er tatsächlich abgegriffen wurde, kann Microsoft nach eigener Aussage nicht mehr nachvollziehen, aufgrund von Protokollaufbewahrungsrichtlinien hat man keine Protokolldateien, mit denen sich das nachweisen ließe.
Diese Analyse wirft neue Fragen auf, unter anderem die, woher denn die Hacker wussten, wonach und wo sie suchen müssen und wie das Konto des Microsoft-Mitarbeiters kompromittiert wurde. Bei dieser schier unglaublichen Aneinanderreihung von Fehlern und Zufällen wird es außerdem nicht Wenige geben, die diese Analyse insgesamt anzweifeln.
Microsoft geht dann zusätzlich noch auf die Frage ein, wie ein gestohlener Schlüssel für ein Privatkunden-Konto dafür verwendet werden konnte, Unternehmenskonten anzugreifen. Das liegt daran, dass Microsoft die Anmelde-Infrastruktur seit 2018 vereinheitlicht hat. Inzwischen habe man allerdings die Anmeldeprozedur um eine Bereichsüberprüfung erweitert, sodass ein solcher Übersprung in Zukunft nicht mehr möglich ist.
Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.
Artikel im Blog lesen
Ich wäre z.B. für kleine Pikser im Daumen, mit denen man Bluttests machen kan
