Eine Hackergruppe namens Storm-0558 hatte im Mai Zugriff auf Mails sowie andere Daten von US-Behörden. Dies wurde lange nicht bemerkt und die Tragweite unterschätzt. Dies lag offenbar nicht zuletzt an Microsoft.
Wie ist der Hack zustande gekommen?
Auch die «Cybersecurity & Infrastructure Security Agency» (CISA) beschwichtigt zunächst. Die Inhalte der betroffenen Mails seien harmlos gewesen. Auch Microsoft ging von einem Spionage- nicht aber um einen Sabotageversuch aus. Dieser sei aber kaum erfolgreich gewesen.
Wieso merkte das niemand?
Nun fördert der Hack allerdings Fragen und Probleme zutage, die deutlich weitreichender sind und nicht nur diesen Hack betreffen. So stellt sich zunächst die Frage, wieso das Ausmass des Hacks so spät klar wurde – nämlich vorletzte Woche, gut einen Monat nach den Zugriffen.
Master-Key gestohlen und nachgemacht
Bei dem entwendeten Schlüssel handle es sich nicht um einen kopierten Token, sondern um einen OpenID Signing Key für das AAD. Darunter kannst du dir eine Art Master-Key zu Microsofts Cloud-System vorstellen.
Microsoft hat den Schlüssel zwar nun gesperrt. Damit sollten also keine Zugriffe mehr möglich sein. Allerdings kann man nicht ausschliessen, dass bei zuvor kompromittierten Accounts ein Hintertürchen eingebaut wurde, sodass es diesen Schlüssel nun nicht mehr braucht.
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.
Hintergrund
Interessantes aus der Welt der Produkte, Blicke hinter die Kulissen von Herstellern und Portraits von interessanten Menschen.
Mitte Juli wurde bekannt, dass eine mutmasslich chinesische Hackergruppe namens Storm-0558 einen Cyberangriff lancierte. Daraus resultierte ein Zugriff auf Mails aus 25 verschiedenen Mail-Konten von US-Regierungsbehörden. Dieser Zugriff beschränkte sich aber nicht auf ein einmaliges Vorkommnis. Vielmehr lag die elektronische Korrespondenz den Angreifenden rund einen Monat lang offen. Der Startzeitpunkt des Hacks, im Mai, gilt als besonders kritisch. US-Aussenminister Tony Blinken traf sich mit chinesischen Regierungsvertretern in China, um über wichtige Geschäfte zu verhandeln.
Als Ursprung für den Hack von Storm-0558 gilt eine Schwachstelle in Microsofts Outlook-Web-Access (OWA) sowie in Outlook.com. Dem Hacker-Kollektiv ist es gelungen, einen Authentifizierungstoken für den Zugriff zu fälschen. So konnten sie sich als AAD-Nutzer (Azure Active Directory) ausgeben. Damit kamen sie durch den Validierungsprozess und gelangten in die Mail-Konten. Das dürfte so eigentlich nicht funktionieren. Gemäss der Servicebeschreibung von Microsoft wäre dieser Weg der Authentifizierung nur für Privatkonten vorgesehen, nicht aber für Business-Konten in AAD. Wie das gelingen konnte, kann (oder will) Microsoft bis dato nicht erklären.
US-Aussenminister Blinken reiste nach China Quelle: Shutterstock
Die unerlaubten Zugriffe wurden erst durch ein gründliches Studium der detaillierten Log-Protokolle festgestellt – von einer US-Behörde. Um diese Protokolle einsehen zu können, ist ein Abonnement namens «Microsoft Purview Audit (Premium)» erforderlich. Dabei handelt es sich um ein Tool, das sehr detailliert alles protokolliert, was in einem System passiert. Das kostet extra und ist nicht in Microsofts Standard-Paket enthalten. Will (oder kann) sich ein Kunde dieses nicht leisten, bleibt er aussen vor. Oder kurz gesagt: Die Entdeckung wäre Kunden ohne dieses Zusatzabo verborgen geblieben.
Nebst Experten äusserten sich auch Politiker und Politikerinnen kritisch. Nicht ohne Grund: Die US-Regierung ist dabei, auf eine Cloud-basierte Cybersicherheitsstrategie zu setzen. Das steht in einer Medienmitteilung der CISA. Mit Vorkommnissen wie diesen werden die Pläne torpediert. Wie Microsoft nun verlauten liess, wolle man Purview Audit (Premium) zukünftig kostenlos in die Sicherheitslösung aufnehmen.
Wie sich jetzt herausstellt, könnte der Vorfall sehr viel weiterreichende Konsequenzen haben, als zunächst angenommen. Das Sicherheitsunternehmen Wiz behauptet, man habe den Microsoft-Key identifizieren können, mit dem die Hacker die Mails ausspionieren konnten. Dies mithilfe von Listen gültiger Signatur-Schlüsseln, die öffentlich verfügbar sind.
Wiz zeigt das Problem mit dieser Grafik. Quelle: Wiz
Um zu verstehen, was da passiert ist (oder passiert sein könnte), muss man verstehen, was ein Signing Key und was ein Token ist. Ich erkläre das an einem realen Beispiel. Stelle dir vor, du möchtest in ein Land reisen, für das du ein Visum brauchst. Weil du aber eigentlich nicht in dieses Land reisen darfst, hast du kein Visum und würdest von der Grenzwacht abgewiesen. Jetzt erstellst du einfach selber ein Visum, das wie das Original aussieht. Das ist der Token. Anschliessend gehst du zur Botschaft des Ziellandes. Dort gibt es eine Person, die Visa unterschreibt. Sie ist quasi der Signing Key. Sie würde dein Fake-Visum nicht einfach so unterschreiben, aber du bestichst sie. Du kompromittierst sie, damit sie trotzdem unterschreibt. Die Grenzwacht sieht die Unterschrift und lässt dich daraufhin einreisen. So muss man sich dies vereinfacht vorstellen – nur, dass der Signing Key beim Hack diese «Visa» nicht nur für ein Land, sondern für Dutzende unterschreiben kann.
Wie der letzte Teil des Namens sagt, ist es ein Directory, auf Deutsch «Verzeichnis». In diesem Fall ein Cloud-basierter Verzeichnisdienst von Microsoft. Dort können Identitäten, Zugriffsrechte und Rollen von Benutzern für gewisse Services gespeichert und verwaltet werden. Das ist die Kernfunktion. Dies passiert entweder über ein grafisches Interface oder über die Windows Powershell. Zudem gibt es Schnittstellen, mit denen man AAD mit eigenen, lokalen Benutzerverzeichnissen verbinden kann. Microsoft benutzt AAD einerseits selber, beispielsweise für die Benutzerverwaltung von Microsoft 365. Aber auch andere Firmen mieten den AAD-Service von Microsoft, um dort ihrerseits Benutzerkonten für ihre Dienste verwalten zu können.
Wiz erklärt, ihren Erkenntnissen zufolge hätten die Angreifer nicht nur potenziellen Zugriff auf «Exchange Online» gehabt, welches von Microsoft gehostet wird. Vielmehr seien ihnen beinahe sämtliche Bereiche von Microsofts Cloud zugänglich gewesen. Also Office, Teams, Sharepoint und Outlook. Doch das ist scheinbar noch nicht alles. Denn wie Wiz weiter erklärt, könne der geklaute Schlüssel jeden OpenID-Zugriffstoken signieren. Dies wiederum würde bedeuten: Theoretisch könnten die Hacker sich zu jeder Cloud-App Zugang verschaffen, deren Identitätsvalidierung auf Azure Active Directory beruht. Egal, welche Firma dies beträfe. Auch Accounts, die «Login with Microsoft» anbieten, wären betroffen – etwa GitHub.
Der von Wiz beschriebene Sachverhalt wurde von Microsoft so (noch) nicht bestätigt. Zwar habe ich kaum Zweifel an der Einschätzung von Wiz. Ob diese Möglichkeiten von den Hackern aber tatsächlich ausgenutzt wurden – und in welchem Umfang – bleibt vorerst offen. Erst müsste eine Überprüfung sämtlicher Microsoft-Konten, inklusive auf AAD beruhender, stattfinden. Doch wie soll das gehen? Wie dem auch sei: Die Geschichte ist ein Fiasko epischen Ausmasses für Microsoft. Zusätzlich ist die Strategie der Nicht-Kommunikation oder Kaum-Kommunikation absolut intransparent und meiner Meinung nach unangebracht. Das Kind ist in den Brunnen gefallen, jetzt sollte man die Konsequenzen daraus ziehen. Ansonsten leidet das Vertrauen in Microsoft mehr als ohnehin schon.
