Microsofts gestohlener Master-Key: Auch chinakritischer Abgeordneter angegriffen
Microsoft hat nach eigenen Angaben alle Betroffenen ĂĽber den angeblich aus China ausgefĂĽhrten Angriff auf Cloud-Konten informiert. Daran gibt es neue Zweifel.
Einen Monat, nachdem erste Details über einen mutmaßlich chinesischen Angriff auf Online-Exchange-Konten bekannt wurden, hat Microsoft offenbar weiterhin nicht alle Betroffenen informiert. Der US-Parlamentarier Don Bacon hat nach eigenen Angaben erst jetzt vom FBI erfahren, dass die Angreifer im Frühjahr einen Monat lang Zugriff auf seine persönlichen und beruflichen E-Mails hatten. Diese hätten eine Schwachstelle in Microsofts Software ausgenutzt, er selbst habe keinen Fehler gemacht. Die auf Facebook geteilte Information weist darauf hin, dass die US-Bundespolizei immer noch Opfer informiert. Dabei hat Microsoft immer versichert, dass alle Betroffenen kontaktiert worden seien.
Ăśberstunden fĂĽr Taiwan
Bacon sitzt für den US-Bundesstaat Nebraska im US-Repräsentantenhaus und gehört dem Ausschuss fürs Militär sowie einer Gruppe zur Verbesserung der Beziehungen zu Taiwan an. Anlässlich der Information über den Cyberangriff schreibt Bacon nun, "China ist nicht unser Freund". Er werde Überstunden machen, um sicherzustellen, dass Taiwan, die Waffen aus den USA im Wert von 19 Milliarden US-Dollar bekommt, die das Land bestellt hat. China betrachtet Taiwan (beziehungsweise die Republik China) als Bestandteil des eigenen Territoriums und strebt offiziell eine "Wiedervereinigung" an, zuletzt waren die Befürchtungen größer geworden, dass die Volksrepublik dafür auch militärisch vorgehen könnte.
Microsoft hatte koordinierten Hackerangriff aus China Mitte Juli öffentlich gemacht und erklärt, ungefähr 25 Organisationen inklusive Regierungseinrichtungen seien betroffen – alle seien informiert. Seitdem hat sich die Angelegenheit aber immens ausgeweitet, während Microsoft noch immer versucht, den eklatanten Vorfall herunterzuspielen. Zentrales Element ist ein gestohlener Signatur-Schlüssel, mit dem die Angreifer möglicherweise Zugriff auf die Daten aller Cloud-Kunden hatten. Grundlegende Informationen zu dem Angriff sind aber weiterhin nicht bekannt. Weil potenziell alle Cloud-Kunden von Microsoft betroffen waren, hat heise Security einen Fragenkatalog zusammengestellt, mit bei dem US-Konzern gezielter nachgehakt werden kann.
Ich beziehe mich auf den von Microsoft dokumentierten Vorfall, dass eine vermutlich chinesische Angreifergruppe namens "Storm-0558" einen Microsoft Signing Key entwendet und sich damit Zugriff auf Mails im Exchange Online mehrerer Regierungsbehörden verschafft hat (siehe Links). Wir nutzen unter anderem !!!Exchange Online, Sharepoint und Microsoft Teams!!!. Nach unserem aktuellen Kenntnisstand hätte Storm-0558 unter Umständen auch auf unsere Microsoft-Cloud-Dienste zugreifen können. Also fragen wir uns:
- Hätte Storm-0558 mit dem gestohlenen Key prinzipiell auf unsere Microsoft-Cloud-Dienste zugreifen können? Mit welchen Zugriffsrechten und Konsequenzen? Wie genau können wir das feststellen/ausschließen? Oder können Sie das kategorisch ausschließen? (Wenn ja, hätten wir dafür gerne eine technisch einleuchtende Begründung)
- Wie können wir selbst überprüfen, ob das versucht wurde und ob das eventuell sogar Erfolg hatte? Oder hat Microsoft das explizit überprüft? (Wenn ja, dann wüssten wir gerne wie und mit welchem Ergebnis.) Kann Microsoft das überhaupt prinzipiell überprüfen?
- Welche Vorkehrungen können wir treffen, dass das nicht in Zukunft auf ähnliche Art geschieht, beziehungsweise dass wir solche, nicht von uns autorisierten Zugriffe Dritter wenigstens bemerken? Wie wird uns Microsoft dabei unterstützen?
Links
Wir beziehen uns dabei auf folgende Veröffentlichungen, die die oben genannten Fragen aufwerfen, aber leider nicht beantworten können:
- https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/
- https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/
- https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
- https://www.heise.de/news/Microsoft-reagiert-auf-Online-Exchange-Fiasko-Mehr-Logs-fuer-alle-9222889.html
- https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html
Anmerkung: Diese Fragen dĂĽrfen Sie nach Belieben kopieren und fĂĽr eigene Anfragen etwa an Microsoft verwenden.
(mho)