Microsofts gestohlener Schlüssel mächtiger als vermutet

Inhaltsverzeichnis

Dem Sicherheitsunternehmen Wiz ist es nach eigenen Angaben gelungen, den gestohlenen Microsoft-Key zu identifizieren, mit dem mutmaßlich chinesische Angreifer die Mails von Regierungsbehörden ausspionierten. Demzufolge hätten diese Angreifer auch Zugriff auf nahezu alle Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams erlangen können. Selbst Kunden-Apps in der Cloud mit "Login with Microsoft" könnten demnach sperrangelweit offen gestanden haben. Ob sie diese Möglichkeiten tatsächlich nutzten, weiß man nicht, denn Microsoft versteckt sich hinter nichtssagenden Dementis.

Das Cloud-Fiasko

Mitte Juni machte eine US-Behörde den Cloud-Riesen Microsoft auf seltsame Vorgänge in ihren Online-Exchange-Konten aufmerksam. Sie hatten in Protokolldaten, die Microsoft separat als Produkt anbietet, verdächtige Zugriffe auf ihre E-Mails registriert. Die anschließende Analyse enthüllte ein Debakel riesigen Ausmaßes, das Microsoft nur widerstrebend und stückweise offenlegte. Mutmaßlich chinesische Angreifer, die Microsoft als Storm-0558 bezeichnete, hatten sich Zugriff auf das von Microsoft gehostete Exchange Online vornehmlich europäischer Regierungsbehörden verschafft.

Dazu hatten die Angreifer einen Signaturschlüssel von Microsoft entwendet, mit dem sie sich selbst funktionierende Zugangstoken für Outlook Web Access (OWA) und Outlook.com ausstellen und dann über Skripte unter anderem Mails und deren Anhänge herunterladen konnten. Wie dieser Diebstahl gelingen konnte, will oder kann Microsoft selbst einen Monat später noch nicht erklären. Dass die mit dem Signaturschlüssel ausgestellten Tokens überhaupt funktionierten, erläutert das Unternehmen ebenfalls nicht ausreichend: Ein Problem mit der Gültigkeitsprüfung ("Validation Issue") habe dazu geführt, dass die eigentlich nur für Privatkunden-Konten (MSA) vorgesehene digitale Unterschrift auch im Azure Active Directory für Business-Kunden funktionierte. Erschwerend hinzu kommt die Tatsache, dass Microsoft es offenbar gezielt vermeidet, die von diesem Security- und Privacy-Desaster betroffenen Produkte explizit zu benennen. (Mehr dazu in: Microsoft reagiert auf Online-Exchange-Fiasko: Mehr Logs für alle)

Ein Hauptschlüssel zu Microsofts Cloud-Königreich

In diese ohnehin schon undurchsichtige Gemengelage platzt jetzt eine Analyse der auf Cloud-Security spezialisierten Firma Wiz, die behauptet, dass alles noch viel schlimmer sei. Die Forscher haben sich auf die Suche nach dem gestohlenen Schlüssel gemacht und diesen nach eigenen Angaben tatsächlich mithilfe des von Microsoft veröffentlichten Fingerprints identifiziert. Dann haben sie die öffentlich verfügbaren und etwa im Internet Archive dokumentierten Listen von gültigen Signatur-Schlüsseln untersucht und stellten fest: Der gestohlene Schlüssel schloss nicht nur bei Microsofts Exchange Online, sondern fast überall in Microsofts Cloud.

Es handelt sich bei dem gestohlenen Schlüssel um einen OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD). Das ist Microsofts Cloud-Verzeichnisdienst, also eine Art Telefonbuch der jeweils bekannten Cloud-Nutzer. Und nach Wiz-Erkenntnissen konnte man mit diesem Signing Key Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Also nicht nur Outlook, sondern auch Office, Sharepoint und Teams. Doch es kommt noch schlimmer:

"The compromised key was trusted to sign any OpenID v2.0 access token for personal accounts and mixed-audience (multi-tenant or personal account) AAD applications."

Sprich: Auch in von Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Appikationen hätten die Storm-Trooper demnach einfach reinspazieren können, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein "Login with Microsoft" ermöglichten. Das wäre der Größte Anzunehmende Unfall (GAU) für einen großen Identitäts-Provider, der Microsoft gerne sein möchte.

Microsoft hat den kompromittierten Schlüssel zwar jetzt gesperrt, sodass jetzt keine weiteren Zugriffe damit möglich sein sollten. Aber es wäre durchaus möglich gewesen, die Zugänge vorher zu nutzen, um die betroffenen Accounts – also praktisch fast die gesamte Microsoft-Cloud – mit Hintertüren zu versehen. Eigentlich müsste man jetzt jedes einzelne AAD- und Microsoft-Konto auf nicht autorisierte Aktivitäten hin überprüfen. Doch wie macht man das?

Ausmaß ungewiss

Bislang gibt es keine Belege, dass Storm-0558 – oder eine andere Angreifertruppe – dieses Scheunentor tatsächlich über das bislang von Microsoft eingestandene Maß hinaus genutzt hat. Das könnte aber auch an den von Microsoft bisher nur sehr spärlich gelieferten Informationen und den künstlich eingeschränkten Möglichkeiten liegen, die Cloud-Dienste auf Sicherheitsprobleme hin zu überprüfen. Für diese Zugriffe auf Log-Daten kassierte Microsoft bislang extra; erst nach Bekanntwerden dieses Security-Fiaskos lenkte Microsoft ein und will zukünftig den Zugang zu diesen Log-Daten ohne Zusatzkosten freigeben.

Überhaupt gibt der Cloud-Monopolist Microsoft offenbar nur unter Druck immer nur genau so viel Informationen preis, wie er unbedingt muss. Auf die Veröffentlichung von Wiz etwa reagierten eine Konzernsprecherin lediglich mit einem Statement, das das alles als "weitgehend spekulativ und nicht Fakten-orientiert" abtat. Gleichzeitig lieferten sie aber selber keinerlei Fakten, die die Aussagen bestätigen oder widerlegen könnten.

Einschätzung

Aus meiner Sicht: Microsoft ist einer von drei großen Cloud-Anbietern, auf deren Dienste weltweit die IT von Unternehmen, Organisationen, Behörden und auch Privatmenschen setzt. Diese Cloud-Angebote standen durch Fehler und Versäumnisse von Microsoft unter Umständen sperrangelweit offen. Microsoft selbst gibt dazu nur die allernötigsten Informationen heraus und in der Folge weiß niemand mehr genau, was eigentlich Sache und wer oder was betroffen ist. Jetzt ist es an den Kunden, von Microsoft mehr Transparenz, Offenlegung aller Informationen rund um diesen Vorfall und vor allem konkrete Hilfestellung bei einer Überprüfung auf mögliche unautorisierte Zugriffe einzufordern. Und wenn Microsoft nicht liefert, ist es allerhöchste Zeit, andere Optionen zu diskutieren.

(ju)