Gestohlener Cloud-Master-Key: Microsoft schweigt – so fragen Sie selbst

Der Diebstahl eines Signatur-Schlüssels wirft weiterhin Fragen auf, die Microsoft nicht beantwortet. Was betroffene Unternehmen jetzt selbst tun können.

In Pocket speichern vorlesen Druckansicht 428 Kommentare lesen

(Bild: VDB Photos/Shutterstock.com)

Lesezeit: 3 Min.

Der Vorfall rund um den Diebstahl eines Signatur-Schlüssels bei Microsoft wirft viele Fragen auf. Wie Microsoft dokumentiert, gelang es mutmaßlich chinesischen Angreifern, damit die E-Mails vornehmlich europäischer Regierungsbehörden in deren Exchange Online auszuspionieren. Doch war das wirklich alles? Die aktuell bekannten Fakten deuten darauf hin, dass das Sicherheitsproblem sehr viel größer war – und immer noch ist.

Denn nach aktuellem Kenntnisstand könnten nahezu alle Nutzer von Microsofts Cloud-Diensten betroffen sein. Das sind unter anderem Outlook, Sharepoint, Office365, Teams, Onedrive und Drittanwendungen, die die Funktion "Sign in with Microsoft" anbieten. Die Angreifer hätten sich demnach prinzipiell Zugang zu fast allen Konten bei Diensten der Microsoft-Cloud verschaffen können.

Mittlerweile hat Microsoft den gestohlenen Schlüssel zwar gesperrt und dieses Scheunentor geschlossen. Doch die Angreifer hätten diese Cloud-Dienste bereits zuvor angreifen und mit Hintertüren versehen können, um diese dann später zu nutzen. Genauer beschreibt das der heise-Security-Artikel Microsofts gestohlener Schlüssel mächtiger als vermutet.

Eigentlich müsste man deshalb jetzt die komplette Microsoft-Cloud nach möglichen Hintertüren und kompromittierten Zugängen durchsuchen. Doch niemand weiß so richtig, wie man das machen könnte. Und Microsoft? Eigentlich würde man erwarten, dass der Cloud-Riese seinen Kunden das entweder abnimmt oder diese zumindest bestmöglich dabei unterstützt. Doch Microsoft will nicht einmal die Existenz dieses Problems zugeben. Jedenfalls nicht in der Dimension, wie es sich nach den aktuellen Erkenntnissen abzeichnet.

Was Microsoft zu diesem Thema bisher von sich gibt, genügt längst nicht, um das Problem in den Griff zu bekommen. Dazu liefert Microsoft viel zu wenig konkrete Details zu dem Vorfall und dessen Hintergründen. Auf konkrete Fragen antwortet der Cloud-Riese nicht oder nur ausweichend. Vielleicht ändert sich das, wenn mehr Betroffene fragen und klarstellen, dass sie das nicht weiter akzeptieren werden.

Fragen fĂĽr die Berichterstattung zum Storm-0558- und MSA-Signing-Key-Incident
  • Wo und wie wurde der gestohlene MSA Signing Key aufbewahrt und wie wurde er dort entwendet?
  • Wie kam es dazu, dass dieser MSA Signing Key im Azure AD funktioniert? („Validation Issue“ ist da zu dĂĽnn)
  • Welche (Microsoft-)Dienste auĂźer Exchange Online waren davon grundsätzlich betroffen?
  • Können Sie bestätigen, dass der entwendete Key auch bei anderen Microsoft-Diensten wie SharePoint oder Teams funktioniert hätte?
  • Können Sie bestätigen, dass der entwendete Key auch bei Kunden-Apps, die fĂĽr den Multi-Tenant-Betrieb oder Personal Accounts konfiguriert sind, funktioniert hätte?
  • Gibt es eine Anleitung, wie Microsoft-Kunden einfach selbst ĂĽberprĂĽfen können, ob es Zugriffsversuche auf ihre Dienste mit diesem SchlĂĽssel (bzw. mit von ihm signierten Tokens) gab und ob diese Erfolg hatten?
  • Welche MaĂźnahmen empfiehlt Microsoft seinen Kunden, die jetzt besorgt um die Sicherheit ihrer in der Microsoft-Cloud laufenden Dienste sind?

Anmerkung: Diese Fragen dĂĽrfen Sie nach Belieben kopieren und fĂĽr eigene Anfragen etwa an Microsoft verwenden.

Selbstverständlich haben wir von heise Security unter anderem bei Microsoft nachgefragt, um für unsere Berichterstattung konkrete Antworten auf die offenen Fragen zu bekommen (siehe Kasten "Fragen für die Berichterstattung"). Der Verlag setzt selbst auch Microsoft-Dienste wie Microsoft-Teams ein. Deshalb haben wir auch aus der Sicht eines möglicherweise betroffenen Unternehmens nachgehakt und Fragen gestellt, wie sich dieser Vorfall auf die Sicherheit unserer IT auswirkt. Doch als Antwort kam bislang nur ein Verweis auf die bereits bekannten Microsoft-Veröffentlichungen, die genau diese Fragen offen lassen.

Deshalb haben wir diese Fragen mit den Mitgliedern von heise Security Pro geteilt. Das ist eine Community von Sicherheitsverantwortlichen in Firmen, Behörden und Organisationen (siehe etwa Drei Jahre heise Security Pro – eine Zwischenbilanz). Diese haben das äußerst positiv aufgenommen und bereits ihrerseits entsprechend angepasste Fragen an ihre Kontakte bei Microsoft weitergeleitet.

Jetzt veröffentlichen wir eine mit dem Feedback aus dem Pro-Forum weiterentwickelte Version dieses Fragenkatalogs für alle Betroffenen, die Sie frei verwenden können. Vielleicht hilft das ja Ihrem Unternehmen, die eigenen Fragen an Microsoft zu konkretisieren und dann auch an den jeweiligen Kunden-Betreuer zu übermitteln. Privatkunden könnten diese Fragen entsprechend angepasst etwa an die Microsoft Kunden-Hotline stellen. Vielleicht ändert Microsoft ja angesichts dieser Anfragen seine Informationspolitik doch noch.

Vorlage fĂĽr: Fragen Betroffener an Microsoft zum Storm-0558- und MSA-Signing-Key-Incident

Ich beziehe mich auf den von Microsoft dokumentierten Vorfall, dass eine vermutlich chinesische Angreifergruppe namens "Storm-0558" einen Microsoft Signing Key entwendet und sich damit Zugriff auf Mails im Exchange Online mehrerer Regierungsbehörden verschafft hat (siehe Links). Wir nutzen unter anderem !!!Exchange Online, Sharepoint und Microsoft Teams!!!. Nach unserem aktuellen Kenntnisstand hätte Storm-0558 unter Umständen auch auf unsere Microsoft-Cloud-Dienste zugreifen können. Also fragen wir uns:

  • Hätte Storm-0558 mit dem gestohlenen Key prinzipiell auf unsere Microsoft-Cloud-Dienste zugreifen können? Mit welchen Zugriffsrechten und Konsequenzen? Wie genau können wir das feststellen/ausschlieĂźen? Oder können Sie das kategorisch ausschlieĂźen? (Wenn ja, hätten wir dafĂĽr gerne eine technisch einleuchtende BegrĂĽndung)
  • Wie können wir selbst ĂĽberprĂĽfen, ob das versucht wurde und ob das eventuell sogar Erfolg hatte? Oder hat Microsoft das explizit ĂĽberprĂĽft? (Wenn ja, dann wĂĽssten wir gerne wie und mit welchem Ergebnis.) Kann Microsoft das ĂĽberhaupt prinzipiell ĂĽberprĂĽfen?
  • Welche Vorkehrungen können wir treffen, dass das nicht in Zukunft auf ähnliche Art geschieht, beziehungsweise dass wir solche, nicht von uns autorisierten Zugriffe Dritter wenigstens bemerken? Wie wird uns Microsoft dabei unterstĂĽtzen?

Links

Wir beziehen uns dabei auf folgende Veröffentlichungen, die die oben genannten Fragen aufwerfen, aber leider nicht beantworten können:

  • https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/
  • https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/
  • https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
  • https://www.heise.de/news/Microsoft-reagiert-auf-Online-Exchange-Fiasko-Mehr-Logs-fuer-alle-9222889.html
  • https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html

Anmerkung: Diese Fragen dĂĽrfen Sie nach Belieben kopieren und fĂĽr eigene Anfragen etwa an Microsoft verwenden.

(ju)