So ist der Hack von Storm-0558 passiert, das müssen Sie wissen! Gestohlener Master-Key von Microsoft
Anbieter zum Thema
Hacker haben einen Master-Signatur-Schlüssel von Microsoft erbeutet und konnten dadurch auf Kundendaten in Azure, Outlook.com und Microsoft 365 zugreifen. Das müssen Unternehmen jetzt wissen, um festzustellen, ob ihre Daten kompromittiert sein könnten.

Im Juni oder sogar etwas früher haben es Cyberkriminelle aus China geschafft einen Master-Signatur-Key / OpenID Signing Key für Azure AD/Entra ID von Microsoft zu erbeuten. Dadurch waren die Angreifer in der Lage auf die Daten zahlreicher Kunden zuzugreifen, indem sie sich selbst Anmeldedaten für Kunden-Abonnements erstellen konnten. Betroffen sind zum Beispiel Azure, Microsoft 365 (vor allem Exchange Online) und Outlook.com.
Es gibt aber auch Vermutungen, dass der Schlüssel zu weitaus mehr Ressourcen Zugriff gewährt als nur Exchange Online. Der Angriff wird der Hackergruppe Storm-0558 zugeschrieben. Ein großes Problem dabei ist, dass dieser Key eigentlich nur für Outlook.com gültig sein sollte. Im Rahmen der Untersuchungen hat sich aber herausgestellt, dass er für große Teile der Microsoft-Cloud funktioniert, auch Azure und Microsoft 365.
Playbook verfügbar, um Auswirkungen des Hackerangriffs auf die eigenen Daten zu bewerten
Microsoft hat dazu ein Playbook veröffentlicht, wie Kunden überprüfen können, ob ihr Abonnement betroffen ist. Dazu benötigen Kunden entweder Zugriff auf Microsoft Sentinel oder ein anderes SIEM-Tool, das in der Lage ist die notwendigen Daten auszulesen. Nach verschiedenen Quellen, zum Beispiel vom Sicherheitsunternehmen Wiz, können oder konnten Angreifer auch auf SharePoint Online und Microsoft Teams zugreifen.
Zwar hat Microsoft den Key mittlerweile gesperrt, es ist aber nicht klar, in welche Kunden-Abonnements die chinesischen Angreifer eingebrochen sind, um sich Hintertüren einzubauen, die sie auch nach der Sperrung des OpenID Signing Key für Azure AD/Entra ID nutzen können.
Schuld am Diebstahl des Keys war ein abgestürzter Server
Microsoft hat jetzt bekanntgegeben, dass der Diebstahl des OpenID Signing Key durch einen Serverabsturz verursacht wurde. Im April 2021 ist anscheinend ein Signatur-Server abgestürzt. Dabei hat das Betriebssystem einen Crash-Dump erstellt. In diesem Crash-Dump war dann auch der Schlüssel gespeichert, den die Hacker stehlen konnten. Leider haben die verantwortlichen Sicherheitssysteme das nicht erkannt.
Als ob das nicht genug ist, wurden die Daten des Crash-Dumps aus dem sicheren Netzwerk des Signier-Servers in ein unsicheres Netzwerk verschoben, vermutlich um den Absturz zu untersuchen. Genau an dieser Stelle hat ein Mitglied von Storm-0558 erfolgreich das Unternehmenskonto eines Microsoft-Ingenieurs kompromittiert. Der Mitarbeiter hatte Zugriff auf den Crash-Dump und damit konnte der Hacker den Key erbeuten. Leider haben auch hier die Sicherheitssysteme von Microsoft versagt und den Vorgang nicht protokolliert. Darüber hinaus hat Microsoft aus nicht ganz geklärten Umständen überall den gleichen Key verwendet. Microsoft hat jetzt bekanntgegeben, dass alle diese Stellen aktualisiert und verbessert wurden, sodass ein solcher Vorfall nicht mehr passieren kann.
(ID:49702683)