60.000 geklaute Regierungsmails: Erste Zahlen nach Microsofts Cloud-Key-Debakel

Microsoft hat sich einen Token Signing Key für die Azure Cloud klauen lassen, die Auswirkungen waren unklar. Nun gibt es erste Zahlen zu den Folgen.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 2 Min.

Ein Mitarbeiter des US-Außenministeriums hat gegenüber der Nachrichtenagentur Reuters erste Zahlen zum Ausmaß der Schäden nach dem Diebstahl eines Azure Cloud Signing Key bekannt gegeben. Demnach sprachen IT-Beauftragte bei einem Briefing von 60.000 gestohlenen Mails aus zehn Accounts des State Department. Die Angreifer erbeuteten ebenfalls Listen mit allen Mailadressen der Behörde. Zum Zeitpunkt des Datendiebstahls waren die Hacker in der Lage, sich selbst gültige Zugangstoken zu Microsofts Common IDP (Identity Provider) zu signieren. Als Angreifer identifizierte Microsoft die chinesische Hackergruppe Storm-0558, die es laut Microsoft auch auf europäische Behörden abgesehen hatte.

Der ursprüngliche Angriff auf Microsofts IDP mit einem gestohlenen Token Signing Private Key mutete Mitte des Jahres an wie ein Cloud-GAU. Die Hacker konnten sich damit eine Art Generalschlüssel für Exchange Online verschaffen; die Kompromittierung flog erst auf, als US-Behörden in zu dem Zeitpunkt noch kostenpflichtigen Logs verdächtige Aktivitäten bemerkten. Abhanden gekommen war der Key bereits 2021, als er bei einem Absturz einer Instanz des Common IDP aufgrund einer Race Condition in den Crash Dump geschrieben wurde. Einmal außerhalb der gehärteten Produktionsumgebung klauten Angreifer die Daten aus einem Entwickleraccount in der Debug-Umgebung. Eine Verkettung äußerst unglücklicher Ereignisse, wie Microsoft es im eigenen Blogbeitrag erklärt.

Neun der zehn betroffenen Accounts des US-Außenministeriums arbeiteten wohl an Angelegenheiten in Ost-Asien und dem Pazifikraum, der letzte Account jedoch war mit Europa-Themen befasst, berichtet Reuters. Mit den 60.000 geklauten Mails gibt es nun erste Zahlen aus einer der laut Microsoft 25 betroffenen Organisationen. Ziel des Angriffs waren neben US-amerikanischen wohl auch europäische Behörden. Damit bleibt das gesamte Ausmaß des Angriffs weiterhin unklar.

Nach dem Bekanntwerden des Vorfalls begann die US-Regierung ihre eigene Cloud-Sicherheitsstrategie zu prüfen. Detaillierte Zusammenfassungen der Vorfälle bis Mitte August finden sich auf heise+, der aktuellste Stand mit Informationen zum Key-Diebstahl findet sich auf der IT-Sicherheitsseite in der aktuellen iX.

(pst)