Microsoft reagiert auf Online-Exchange-Fiasko: Mehr Logs für alle

Letzte Woche kam heraus, dass vermutlich chinesische Angreifer Zugriff auf die Online-Exchange-Konten diverser Regierungsbehörden hatten. Microsoft hat dies jedoch nicht etwa selbst bemerkt, sondern Kunden machten den Konzern auf seltsame Aktivitäten in ihren Postfächern aufmerksam. Sie konnten das allerdings nur anhand von "Premium-Log-Daten" feststellen, für die Microsoft extra Gebühren kassiert. Diese Praxis plant Microsoft jetzt abzustellen und will ab September allen Microsoft-365-Kunden kostenlosen Zugriff auf die Logdaten gewähren.

Im Laufe der kommenden Monate sollen Kunden dazu über das Standardpaket Microsoft Purview Audit unter anderem Zugriff auf protokollierte Zugriffe auf ihre E-Mails erhalten, der bislang dem kostenpflichtigen Purview Audit Premium vorbehalten war. Dieses Umschwenken geschieht nicht ganz freiwillig. Auch wenn beide Seiten das jetzt als gemeinsames Ergebnis verkaufen, kann man zwischen den Zeilen der Veröffentlichungen der CISA und Microsoft recht deutlich herauslesen, dass die US-Sicherheitsbehörde da Druck gemacht hat. Von den europäischen Sicherheitsbehörden war übrigens gar nichts zu dem Thema zu hören, obwohl doch gemäß Microsoft westeuropäische Regierungen die Mehrzahl der Opfer stellten.

Eine Serie von Peinlichkeiten

Der Angriff durch die laut Microsoft chinesische Hackgruppe "Storm-0558" offenbart eine ganze Reihe von überaus peinlichen Sicherheitsproblemen in Microsofts Cloud-Flaggschiff Microsoft 365. Das beginnt damit, dass es den Angreifern offenbar gelang, einen Signaturschlüssel zu stehlen, mit dem sie sich dann selber Zugangs-Token ausstellen konnten. Die ermöglichten dann unter anderem skriptgesteuerten Zugriff auf Exchange-Online-Konten und damit das heimliche Mitlesen von E-Mails der Opfer.

Wie ein solch wichtiger Signaturschlüssel gestohlen werden konnte, weiß Microsoft offenbar einen Monat nach Beginn der Untersuchungen immer noch nicht: "The method by which the actor acquired the key is a matter of ongoing investigation" – das sei nach wie vor Gegenstand der Untersuchung, heißt es in Microsofts Analyse. Klar ist, dass der Signaturschlüssel nur unzureichend gesichert war; zukünftig will ihn Microsoft deshalb im besser gesicherten Key Store des Azure AD aufbewahren.

Da kommt dann die zweite Peinlichkeit: Der Signaturschlüssel hätte eigentlich gar keine gültigen Zugangs-Tokens ausstellen dürfen, denn er war für das im Businessbereich der Azure-AD-Welt angesiedelte Online-Exchange gar nicht zuständig. Es handelte sich nämlich um einen Key zum Signieren für Microsoft Accounts im Consumer-Bereich (MSA – entspricht dem, was früher Microsoft Live war). Warum dieser Masterkey trotzdem im Business-Dienst Azure AD funktionierte, ist ebenfalls unklar. Microsoft spricht da lapidar von einem “validation issue” – und verschleiert damit nur notdürftig eine Bankrotterklärung. Denn Validierung gültiger Zugangsdaten ist die zentrale Aufgabe der Authentifizierung; wenn da auch ungültige Credentials funktionieren, ist das ein Versagen der wichtigsten Funktion.

Und dann hat Microsoft selbst den Angriff offenbar nicht bemerkt. Einer zivilen US-Bundesbehörde fielen mithilfe der separat lizenzierten Premium-Logdaten im Juni verdächtige Aktivitäten in ihrer Cloud-Umgebung von Microsoft 365 auf und sie meldete diese bei Microsoft und der zuständigen Aufsichtsbehörde CISA. Das erst löste die folgenden Aktivitäten aus, die letztlich zum Aussperren der Angreifer führten. Als Konsequenz will Microsoft zukünftig die Key Activities (also Aktivitäten der wichtigen Schlüssel) besser überwachen und insbesondere das zugehörige Monitoring und Alerting verbessern. Das kann man durchaus als Eingeständnis lesen, dass da bisher nicht genug getan wurde.

Online-Exchange überwachen

Wer sich jetzt fragt, ob das eigene Unternehmen von diesen Problemen betroffen war, muss sich entweder mit Microsofts Erklärung zufriedengeben, man habe die betroffenen Kunden alle benachrichtigt ("If you have not been contacted, our investigations indicate that you have not been impacted."). Oder man macht sich selbst auf die Suche nach Hinweisen. Die CISA hat in Zusammenarbeit mit dem FBI dazu das Cybersecurity-Advisory Enhanced Monitoring to Detect APT Activity Targeting Outlook Online zusammengestellt, das die Vorgehensweise dabei erläutert.

Dort sprechen CISA und FBI übrigens auch bereits im ersten Absatz klar aus, um welches Produkt es dabei eigentlich geht: In Microsofts eigenen Analysen zum Thema tauchen die Produktnamen "Microsoft 365" und "M365" hingegen nicht auf. Ein Schelm, wer dabei die Absicht unterstellt, Microsoft wolle vermeiden, dass diese peinlichen Security-Fails das Image des prominenten Cloud-Flaggschiffs trüben könnten.

(ju)