Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Gestohlener Cloud-Master-Key: Microsoft schweigt – so fragen Sie selbst

Der Diebstahl eines Signatur-Schlüssels wirft weiterhin Fragen auf, die Microsoft nicht beantwortet. Was betroffene Unternehmen jetzt selbst tun können.

In Pocket speichern vorlesen Druckansicht 428 Kommentare lesen

(Bild: VDB Photos/Shutterstock.com)

Lesezeit: 3 Min.
Security
Von

Der Vorfall rund um den Diebstahl eines Signatur-Schlüssels bei Microsoft wirft viele Fragen auf. Wie Microsoft dokumentiert, gelang es mutmaßlich chinesischen Angreifern, damit die E-Mails vornehmlich europäischer Regierungsbehörden in deren Exchange Online auszuspionieren. Doch war das wirklich alles? Die aktuell bekannten Fakten deuten darauf hin, dass das Sicherheitsproblem sehr viel größer war – und immer noch ist.

Denn nach aktuellem Kenntnisstand könnten nahezu alle Nutzer von Microsofts Cloud-Diensten betroffen sein. Das sind unter anderem Outlook, Sharepoint, Office365, Teams, Onedrive und Drittanwendungen, die die Funktion "Sign in with Microsoft" anbieten. Die Angreifer hätten sich demnach prinzipiell Zugang zu fast allen Konten bei Diensten der Microsoft-Cloud verschaffen können.

Mittlerweile hat Microsoft den gestohlenen Schlüssel zwar gesperrt und dieses Scheunentor geschlossen. Doch die Angreifer hätten diese Cloud-Dienste bereits zuvor angreifen und mit Hintertüren versehen können, um diese dann später zu nutzen. Genauer beschreibt das der heise-Security-Artikel Microsofts gestohlener Schlüssel mächtiger als vermutet.

Prüfen, aber wie?

Eigentlich müsste man deshalb jetzt die komplette Microsoft-Cloud nach möglichen Hintertüren und kompromittierten Zugängen durchsuchen. Doch niemand weiß so richtig, wie man das machen könnte. Und Microsoft? Eigentlich würde man erwarten, dass der Cloud-Riese seinen Kunden das entweder abnimmt oder diese zumindest bestmöglich dabei unterstützt. Doch Microsoft will nicht einmal die Existenz dieses Problems zugeben. Jedenfalls nicht in der Dimension, wie es sich nach den aktuellen Erkenntnissen abzeichnet.

Was Microsoft zu diesem Thema bisher von sich gibt, genügt längst nicht, um das Problem in den Griff zu bekommen. Dazu liefert Microsoft viel zu wenig konkrete Details zu dem Vorfall und dessen Hintergründen. Auf konkrete Fragen antwortet der Cloud-Riese nicht oder nur ausweichend. Vielleicht ändert sich das, wenn mehr Betroffene fragen und klarstellen, dass sie das nicht weiter akzeptieren werden.

Fragen wir doch Microsoft

Fragen für die Berichterstattung zum Storm-0558- und MSA-Signing-Key-Incident
  • Wo und wie wurde der gestohlene MSA Signing Key aufbewahrt und wie wurde er dort entwendet?
  • Wie kam es dazu, dass dieser MSA Signing Key im Azure AD funktioniert? („Validation Issue“ ist da zu dünn)
  • Welche (Microsoft-)Dienste außer Exchange Online waren davon grundsätzlich betroffen?
  • Können Sie bestätigen, dass der entwendete Key auch bei anderen Microsoft-Diensten wie SharePoint oder Teams funktioniert hätte?
  • Können Sie bestätigen, dass der entwendete Key auch bei Kunden-Apps, die für den Multi-Tenant-Betrieb oder Personal Accounts konfiguriert sind, funktioniert hätte?
  • Gibt es eine Anleitung, wie Microsoft-Kunden einfach selbst überprüfen können, ob es Zugriffsversuche auf ihre Dienste mit diesem Schlüssel (bzw. mit von ihm signierten Tokens) gab und ob diese Erfolg hatten?
  • Welche Maßnahmen empfiehlt Microsoft seinen Kunden, die jetzt besorgt um die Sicherheit ihrer in der Microsoft-Cloud laufenden Dienste sind?

Anmerkung: Diese Fragen dürfen Sie nach Belieben kopieren und für eigene Anfragen etwa an Microsoft verwenden.

Selbstverständlich haben wir von heise Security unter anderem bei Microsoft nachgefragt, um für unsere Berichterstattung konkrete Antworten auf die offenen Fragen zu bekommen (siehe Kasten "Fragen für die Berichterstattung"). Der Verlag setzt selbst auch Microsoft-Dienste wie Microsoft-Teams ein. Deshalb haben wir auch aus der Sicht eines möglicherweise betroffenen Unternehmens nachgehakt und Fragen gestellt, wie sich dieser Vorfall auf die Sicherheit unserer IT auswirkt. Doch als Antwort kam bislang nur ein Verweis auf die bereits bekannten Microsoft-Veröffentlichungen, die genau diese Fragen offen lassen.

Deshalb haben wir diese Fragen mit den Mitgliedern von heise Security Pro geteilt. Das ist eine Community von Sicherheitsverantwortlichen in Firmen, Behörden und Organisationen (siehe etwa Drei Jahre heise Security Pro – eine Zwischenbilanz). Diese haben das äußerst positiv aufgenommen und bereits ihrerseits entsprechend angepasste Fragen an ihre Kontakte bei Microsoft weitergeleitet.

Jetzt veröffentlichen wir eine mit dem Feedback aus dem Pro-Forum weiterentwickelte Version dieses Fragenkatalogs für alle Betroffenen, die Sie frei verwenden können. Vielleicht hilft das ja Ihrem Unternehmen, die eigenen Fragen an Microsoft zu konkretisieren und dann auch an den jeweiligen Kunden-Betreuer zu übermitteln. Privatkunden könnten diese Fragen entsprechend angepasst etwa an die Microsoft Kunden-Hotline stellen. Vielleicht ändert Microsoft ja angesichts dieser Anfragen seine Informationspolitik doch noch.

Vorlage für: Fragen Betroffener an Microsoft zum Storm-0558- und MSA-Signing-Key-Incident

Ich beziehe mich auf den von Microsoft dokumentierten Vorfall, dass eine vermutlich chinesische Angreifergruppe namens "Storm-0558" einen Microsoft Signing Key entwendet und sich damit Zugriff auf Mails im Exchange Online mehrerer Regierungsbehörden verschafft hat (siehe Links). Wir nutzen unter anderem !!!Exchange Online, Sharepoint und Microsoft Teams!!!. Nach unserem aktuellen Kenntnisstand hätte Storm-0558 unter Umständen auch auf unsere Microsoft-Cloud-Dienste zugreifen können. Also fragen wir uns:

  • Hätte Storm-0558 mit dem gestohlenen Key prinzipiell auf unsere Microsoft-Cloud-Dienste zugreifen können? Mit welchen Zugriffsrechten und Konsequenzen? Wie genau können wir das feststellen/ausschließen? Oder können Sie das kategorisch ausschließen? (Wenn ja, hätten wir dafür gerne eine technisch einleuchtende Begründung)
  • Wie können wir selbst überprüfen, ob das versucht wurde und ob das eventuell sogar Erfolg hatte? Oder hat Microsoft das explizit überprüft? (Wenn ja, dann wüssten wir gerne wie und mit welchem Ergebnis.) Kann Microsoft das überhaupt prinzipiell überprüfen?
  • Welche Vorkehrungen können wir treffen, dass das nicht in Zukunft auf ähnliche Art geschieht, beziehungsweise dass wir solche, nicht von uns autorisierten Zugriffe Dritter wenigstens bemerken? Wie wird uns Microsoft dabei unterstützen?

Links

Wir beziehen uns dabei auf folgende Veröffentlichungen, die die oben genannten Fragen aufwerfen, aber leider nicht beantworten können:

  • https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/
  • https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/
  • https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
  • https://www.heise.de/news/Microsoft-reagiert-auf-Online-Exchange-Fiasko-Mehr-Logs-fuer-alle-9222889.html
  • https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html

Anmerkung: Diese Fragen dürfen Sie nach Belieben kopieren und für eigene Anfragen etwa an Microsoft verwenden.

(ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten