Microsofts gestohlener Master-Key: Auch chinakritischer Abgeordneter angegriffen

Microsoft hat nach eigenen Angaben alle Betroffenen ĂĽber den angeblich aus China ausgefĂĽhrten Angriff auf Cloud-Konten informiert. Daran gibt es neue Zweifel.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Computertasten mit Flaggen der USA und Chinas, dazwischen eine mit einer Bombe

(Bild: Weitwinkel/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Martin Holland

Einen Monat, nachdem erste Details über einen mutmaßlich chinesischen Angriff auf Online-Exchange-Konten bekannt wurden, hat Microsoft offenbar weiterhin nicht alle Betroffenen informiert. Der US-Parlamentarier Don Bacon hat nach eigenen Angaben erst jetzt vom FBI erfahren, dass die Angreifer im Frühjahr einen Monat lang Zugriff auf seine persönlichen und beruflichen E-Mails hatten. Diese hätten eine Schwachstelle in Microsofts Software ausgenutzt, er selbst habe keinen Fehler gemacht. Die auf Facebook geteilte Information weist darauf hin, dass die US-Bundespolizei immer noch Opfer informiert. Dabei hat Microsoft immer versichert, dass alle Betroffenen kontaktiert worden seien.

Bacon sitzt für den US-Bundesstaat Nebraska im US-Repräsentantenhaus und gehört dem Ausschuss fürs Militär sowie einer Gruppe zur Verbesserung der Beziehungen zu Taiwan an. Anlässlich der Information über den Cyberangriff schreibt Bacon nun, "China ist nicht unser Freund". Er werde Überstunden machen, um sicherzustellen, dass Taiwan, die Waffen aus den USA im Wert von 19 Milliarden US-Dollar bekommt, die das Land bestellt hat. China betrachtet Taiwan (beziehungsweise die Republik China) als Bestandteil des eigenen Territoriums und strebt offiziell eine "Wiedervereinigung" an, zuletzt waren die Befürchtungen größer geworden, dass die Volksrepublik dafür auch militärisch vorgehen könnte.

Microsoft hatte koordinierten Hackerangriff aus China Mitte Juli öffentlich gemacht und erklärt, ungefähr 25 Organisationen inklusive Regierungseinrichtungen seien betroffen – alle seien informiert. Seitdem hat sich die Angelegenheit aber immens ausgeweitet, während Microsoft noch immer versucht, den eklatanten Vorfall herunterzuspielen. Zentrales Element ist ein gestohlener Signatur-Schlüssel, mit dem die Angreifer möglicherweise Zugriff auf die Daten aller Cloud-Kunden hatten. Grundlegende Informationen zu dem Angriff sind aber weiterhin nicht bekannt. Weil potenziell alle Cloud-Kunden von Microsoft betroffen waren, hat heise Security einen Fragenkatalog zusammengestellt, mit bei dem US-Konzern gezielter nachgehakt werden kann.

Vorlage fĂĽr: Fragen Betroffener an Microsoft zum Storm-0558- und MSA-Signing-Key-Incident

Ich beziehe mich auf den von Microsoft dokumentierten Vorfall, dass eine vermutlich chinesische Angreifergruppe namens "Storm-0558" einen Microsoft Signing Key entwendet und sich damit Zugriff auf Mails im Exchange Online mehrerer Regierungsbehörden verschafft hat (siehe Links). Wir nutzen unter anderem !!!Exchange Online, Sharepoint und Microsoft Teams!!!. Nach unserem aktuellen Kenntnisstand hätte Storm-0558 unter Umständen auch auf unsere Microsoft-Cloud-Dienste zugreifen können. Also fragen wir uns:

  • Hätte Storm-0558 mit dem gestohlenen Key prinzipiell auf unsere Microsoft-Cloud-Dienste zugreifen können? Mit welchen Zugriffsrechten und Konsequenzen? Wie genau können wir das feststellen/ausschlieĂźen? Oder können Sie das kategorisch ausschlieĂźen? (Wenn ja, hätten wir dafĂĽr gerne eine technisch einleuchtende BegrĂĽndung)
  • Wie können wir selbst ĂĽberprĂĽfen, ob das versucht wurde und ob das eventuell sogar Erfolg hatte? Oder hat Microsoft das explizit ĂĽberprĂĽft? (Wenn ja, dann wĂĽssten wir gerne wie und mit welchem Ergebnis.) Kann Microsoft das ĂĽberhaupt prinzipiell ĂĽberprĂĽfen?
  • Welche Vorkehrungen können wir treffen, dass das nicht in Zukunft auf ähnliche Art geschieht, beziehungsweise dass wir solche, nicht von uns autorisierten Zugriffe Dritter wenigstens bemerken? Wie wird uns Microsoft dabei unterstĂĽtzen?

Links

Wir beziehen uns dabei auf folgende Veröffentlichungen, die die oben genannten Fragen aufwerfen, aber leider nicht beantworten können:

  • https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/
  • https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/
  • https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
  • https://www.heise.de/news/Microsoft-reagiert-auf-Online-Exchange-Fiasko-Mehr-Logs-fuer-alle-9222889.html
  • https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html

Anmerkung: Diese Fragen dĂĽrfen Sie nach Belieben kopieren und fĂĽr eigene Anfragen etwa an Microsoft verwenden.

(mho)