Wenn Cloud-Master-Key’s abhanden kommen

Veröffentlicht von Rene Haeberli am

Worum gehts?

Gemäss einer Bestätigung von Microsoft hat eine chinesischen Gruppe mit dem Namen Storm-0558 wichtige, sicherheitsrelevante Komponenten (Cloud-Master-Key, Signatur-Schlüssel) aus der Microsoft-Cloud gestohlen. Die Gruppe war zwischen April und Juli 2023 aktiv.

Sie hatte nachweislich Zugriff auf Outlook Web Acccess von Exchange Online Servern und Outlook.com (Office 365, Microsoft 365) und damit auf vertrauliche Daten von vermutlich tausenden von Benutzern.

Was ist Exchange Online?

Exchange ist ein System von Microsoft, welches Mails, Kontakte und Kalender verwaltet und z.B. Outlook damit versorgt. Es wird von Firmen genauso verwendet, wie von Privatpersonen. Exchange handelt also einen wichtigen und signifikanten Teil der Kommunikation zwischen Mitarbeitenden, Kunden und Lieferanten ab.

Seit längerem wächst die Anzahl Kunden, die Ihre Systeme an Microsoft und ihren Rechenzentren (Cloud, Azure) anvertrauen.

Was ist passiert?

Die Hacker-Gruppe Storm-0558 hat sich illegal Zutritt zur Microsoft Cloud verschafft, geheime Signatur-Schlüssel gestohlen und damit über Monate hinweg die sicher geglaubte eMail-Kommunikation von Exchange Online Kunden (Microsoft 365 / Office 365) mitgelesen. Egal, ob vertraulich, oder nicht.

Dies ist in etwa vergleichbar, als hätte eine Gruppe von fremden Personen eine Kopie vom Hausschlüssel, mit dem sie unbemerkt und jederzeit ein- und ausgehen kann.

Dies hat verständlicherweise zu sehr grosser Verunsicherung geführt, zumal Microsoft seit Tagen zum Thema schweigt. Etwas zynisch, in dieser Zeit nach Preissenkungen auszurufen.

Nicht nur Exchange Online

Sicherheitsspezialisten um Heise meinen, dass nach aktuellem Kenntnisstand weit mehr Cloud-Dienste von Microsoft betroffen sind, bzw waren. Dazu gehören Outlook, Sharepoint, Office365, Teams, Onedrive und weitere Drittanwendungen.

Gestohlener Schlüssel gesperrt

Microsoft hat den gestohlenen Schlüssel zwar gesperrt. Es hat aber einige Zeit gekostet, den Angriff überhaupt zu bemerken. Demzufolge ist nicht auszuschliessen, dass die Hacker in den betroffenen Systmen rechtzeitig Hintertüren eingebaut haben. Damit könnten Sie auch ohne den gesperrten Schlüssel auf Daten zugreifen und weiterhin Spionage oder andere illegalen Aktionen betreiben.

Zudem ist der gestohlene Schlüssel nach Einschätzung von Heise mächtiger als vermutet.

Was ist zu tun?

Einmal mehr, regt dieser Fall zum Nachdenken an. Zeit, die Aktualität der IT-Strategie nachzuführen.

Bei Fragen, fragen! Uns und zwingend auch Microsoft

Spezialisten schlagen vor, folgende Fragen bei Microsoft zu stellen

  • Wo und wie wurde der gestohlene MSA Signing Key aufbewahrt und wie wurde er dort entwendet?
  • Wie kam es dazu, dass dieser MSA Signing Key im Azure AD funktioniert? („Validation Issue“ ist da zu dünn)
  • Welche (Microsoft-)Dienste ausser Exchange Online waren davon grundsätzlich betroffen?
  • Können Sie bestätigen, dass der entwendete Key auch bei anderen Microsoft-Diensten wie SharePoint oder Teams funktioniert hätte?
  • Können Sie bestätigen, dass der entwendete Key auch bei Kunden-Apps, die für den Multi-Tenant-Betrieb oder Personal Accounts konfiguriert sind, funktioniert hätte?
  • Gibt es eine Anleitung, wie Microsoft-Kunden einfach selbst überprüfen können, ob es Zugriffsversuche auf ihre Dienste mit diesem Schlüssel (bzw. mit von ihm signierten Tokens) gab und ob diese Erfolg hatten?
  • Welche Massnahmen empfiehlt Microsoft seinen Kunden, die jetzt besorgt um die Sicherheit ihrer in der Microsoft-Cloud laufenden Dienste sind?