In einem kürzlichen Vorfall in der Cybersicherheit gelang es chinesischen Hackern, bekannt als Storm-0558, einen Microsoft-Verbraucherschlüssel zu stehlen, der ihnen weitreichenden Zugang zu Microsofts Cloud-Diensten ermöglichte. Dieses Ereignis dient als deutliche Erinnerung an die Bedeutung robuster Cybersicherheitsmaßnahmen in unserer zunehmend digitalen Welt.
Der Einbruch
Am 12. Juli gab Microsoft bekannt, dass die Angreifer die Konten von Exchange Online und Azure Active Directory (AD) von etwa zwei Dutzend Organisationen geknackt hatten. Dies wurde erreicht, indem eine inzwischen gepatchte Zero-Day-Validierungsproblematik in der GetAccessTokenForResourceAPI ausgenutzt wurde. Die Hacker konnten signierte Zugriffstoken fälschen und Konten innerhalb der angegriffenen Organisationen imitieren. Zu den betroffenen Einheiten gehörten Regierungsbehörden in den USA und Westeuropa.
Die Auswirkungen
Laut Sicherheitsforschern von Wiz ging die Auswirkung des Einbruchs weit über die von Microsoft zunächst als kompromittiert gemeldeten Konten von Exchange Online und Outlook.com hinaus. Der gestohlene Schlüssel ermöglichte es den Hackern, jedes OpenID v2.0 Zugriffstoken für persönliche Konten (z.B. Xbox, Skype) und Multi-Tenant AAD Apps zu signieren. Das bedeutet, dass die Bedrohungsakteure jedes Konto innerhalb jeder betroffenen Kunden- oder Cloud-basierten Microsoft-Anwendung imitieren konnten.
Die Reaktion
Als Reaktion auf den Sicherheitsvorfall hat Microsoft alle gültigen MSA-Signaturschlüssel widerrufen, um sicherzustellen, dass die Bedrohungsakteure keinen Zugang zu anderen kompromittierten Schlüsseln hatten. Diese Maßnahme verhinderte auch jegliche Versuche, neue Zugriffstoken zu generieren. Microsoft verlegte dann die neu generierten Zugriffstoken in den Schlüsselspeicher für die Unternehmenssysteme des Unternehmens.
Die Folgen
Trotz der schnellen Reaktion berichtete Microsoft von einer Veränderung der Taktik von Storm-0558, was darauf hindeutet, dass die Bedrohungsakteure keinen Zugang mehr zu Signaturschlüsseln hatten. Allerdings gab das Unternehmen zu, dass es immer noch nicht weiß, wie die chinesischen Hacker den Microsoft-Verbraucherschlüssel stehlen konnten.
Die Lehren
Dieser Vorfall unterstreicht die Bedeutung robuster Cybersicherheitsmaßnahmen und die Notwendigkeit einer kontinuierlichen Überwachung und Protokollierung von Aktivitäten. Er hebt auch die Notwendigkeit von Transparenz und Zusammenarbeit zwischen Technologieunternehmen, Cybersicherheitsforschern und Regierungsbehörden bei der Bewältigung solcher Bedrohungen hervor.
Im Zuge des Vorfalls wurde Microsoft dafür kritisiert, dass es Organisationen daran gehindert hat, Angriffe von Storm-0558 rechtzeitig zu erkennen, aufgrund der Kosten, die mit ihrer Purview Audit (Premium) Logging-Lizenz verbunden sind. Auf Druck der Cybersecurity and Infrastructure Security Agency (CISA) hat Microsoft zugestimmt, den kostenlosen Zugang zu Cloud-Logging-Daten zu erweitern, um Verteidigern zu helfen, ähnliche Einbruchsversuche in der Zukunft zu erkennen.
Fazit
Der Vorfall mit dem gestohlenen Microsoft-Schlüssel dient als Weckruf für alle Organisationen. Er unterstreicht die Bedeutung robuster Cybersicherheitsmaßnahmen, kontinuierlicher Überwachung und der Notwendigkeit von Transparenz und Zusammenarbeit angesichts von Cybersicherheitsbedrohungen. Da wir uns weiterhin auf digitale Technologien verlassen, müssen wir wachsam und proaktiv sein, um unsere digitalen Vermögenswerte zu schützen.