Storm-558: Angriff auf Exchange-Mails von Regierungsbehörden und vielleicht mehr

Inhaltsverzeichnis

Mehr zu IT-Security

• Storm-558: Angriff auf Exchange-Mails von Regierungsbehörden und vielleicht mehr
• IT-Sicherheit: T.I.S.P.-Zertifizierung für Security-Schulungen
• Der Kampf gegen Chip-Manipulationen für mehr IT-Sicherheit
• Windows-Security mit AppLocker: Malware mit Application Allowlisting vorbeugen
• IT-Sicherheit: Verbreitete Mythen und Irrtümer aufgeklärt
• IT-Sicherheit: Mythen hinterfragen und Sicherheit richtig umsetzen
• IT-Grundschutz-Kompendium 2023: Neue Bausteine für Outsourcing

Am 11. Juli 2023 veröffentlichte Microsoft in zwei Blogbeiträgen, dass erfolgreiche Angriffe auf E-Mails in Exchange Online und Outlook.com bemerkt, aber inzwischen unterbunden wurden, und schrieb diese Angriffe einer mutmaßlich staatlichen chinesischen Hackergruppe zu, die man in Redmond unter dem Namen Storm-0558 führt. Die Angreifer konnten ab dem 11. Mai 2023 auf E-Mails von circa 25 Organisationen zugreifen, die Microsoft-Cloud-Kunden waren, und zudem auf mehrere private E-Mail-Konten von deren Mitarbeitern. Am 16. Juni 2023 wurden die Angriffe entdeckt und anschließend, so Microsoft, die ausgenutzten Schwachstellen geschlossen.

Hans-Joachim Knobloch

Hans-Joachim Knobloch ist Berater bei Secorvo Security Consulting GmbH in Karlsruhe und hat als Beratungsschwerpunkte Public-Key-Infrastrukturen und alles, was mit PKI-Zertifikaten zu tun hat.

Pikant an der Enthüllung sind vor allem zwei Dinge: Zum einen hat nicht Microsoft selbst die Angriffe entdeckt, sondern einer der betroffenen Microsoft-Kunden, und zwar eine US-Regierungsorganisation (amerikanische Medienberichte nennen das State Department). Dort hatten Intrusion-Detection-Mechanismen bemerkt, dass im Microsoft-365-Log dieses Kunden E-Mail-Zugriffe auf Outlook Web Access (OWA) mit ungewöhnlichen und unerwarteten ClientAppID- und AppID-Werten auftauchten. Glücklicherweise hatte dieser Microsoft-Kunde die bis dato aufpreispflichtigen erweiterten Logs bei Microsoft gebucht, aus denen das ersichtlich wurde.

Mindestens ebenso pikant ist die Tatsache, dass Microsoft dann feststellte, dass die für die Zugriffe genutzten Authentifizierungstoken mit einem Token-Signing Key signiert waren, den Microsoft in der fraglichen Zeit gar nicht mehr zum Signieren im eigenen Identity Provider (IDP) genutzt hatte. Mithin waren die Authentifizierungstoken komplett gefälscht. Der Private Key aus dem Azure AD, mit dem sie signiert waren, war durch einen Angreifer kompromittiert (Microsoft sagt euphemistisch "acquired").

Das war die Leseprobe unseres heise-Plus-Artikels "Storm-558: Angriff auf Exchange-Mails von Regierungsbehörden und vielleicht mehr". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.