Microsofts gestohlener Master Key: Ein Schrecken ohne Ende?
29.09.2023 | Stellen Sie sich vor, jemand stiehlt Ihren Zentralschlüssel und Sie merken es erst Wochen später. Sie wissen nicht, was gestohlen wurde und auch nicht, welche Informationen die Eindringlinge über Sie in Erfahrung gebracht haben. Sie wissen nur: Jemand war in Ihrem Haus. Was wurde entwendet oder verändert? Was haben die Eindringlinge zurückgelassen? Und: Haben sie sich ein Schlupfloch offengelassen, um zurückkehren zu können?
Was würden Sie tun?
Vermutlich mehr, als Microsoft angesichts der schockierenden Entdeckung unternimmt, dass Unbefugte über einen unbekannten Zeitraum hinweg Zugriff auf einen Master Key hatten. Mithilfe dieses Signaturschlüssels stand den Angreifern das sprichwörtliche Scheunentor zur Microsoft-Cloud sperrangelweit offen. Das Tückische daran: Krypto-Schlüssel lassen sich beliebig oft kopieren, sodass niemand sagen kann, wer letztendlich davon Gebrauch machte.
Wie das passieren konnte und welcher Schaden entstanden ist – darüber schweigt sich der Software-Riese aus. Und die Kunden? Üben sich in Akzeptanz und gehen zum Tagesgeschäft über. Doch warum eigentlich? Und wie können Unternehmen prüfen, ob auch ihre Kundendaten in Azure, Outlook.com und Microsoft 365 kompromittiert wurden?
Was bisher geschah
Es war ein Morgen wie jeder andere, als Mitte Juni Mitarbeiter einer US-amerikanischen Regierungsbehörde ungewöhnliche Zugriffe auf ihre E-Mails registrierten. Eine Sicherheitsanalyse ergab daraufhin, dass Angreifer den Mailservice von Microsoft kompromittiert hatten. Ab da folgte eine Hiobsbotschaft auf die nächste. Den Angreifern war es gelungen, einen Sicherheitsschlüssel von Microsoft zu erbeuten, der es ihnen ermöglichte, gefälschte Zugangstokens für den Outlook-Service zu erstellen.
Die Folgen des Diebstahls? Nicht absehbar und vor allem viel weitreichender als zunächst angenommen. Mittlerweile haben Sicherheitsforscher herausgefunden, dass die Angreifer über einen unbekannten Zeitraum hinweg Zugriff auf große Teile der Microsoft-Cloud hatten. Welche Daten dabei abgeflossen sind und ob sich die Hacker Hintertüren eingebaut haben, ist nach wie vor ungewiss.
Da mithilfe des Master Keys Zugangsberechtigungen für alle Cloud-Dienste von Microsoft erstellt werden können, gehören alle Kunden der Microsoft-Cloud und ihrer Services zum Kreis der potenziell Geschädigten.
Es sind lediglich spärliche Informationen, die Microsoft über den Vorfall preisgibt und die meisten Fragen, die der ganze Vorfall aufwirft, bleiben unbeantwortet.
So viel steht fest: Verantwortlich für den Angriff ist mit großer Wahrscheinlichkeit eine chinesische Hackertruppe, die von Microsoft den Namen "Storm-0558" erhielt.
"Schuld" an dem Diebstahl war laut Microsoft ein Serverabsturz, der sich bereits zwei Jahre zuvor, im April 2021, ereignete. Im Zuge dieses Absturzes wurde ein sogenannter Crash Dump erstellt, der eigentlich bei der Analyse und Problembehandlung helfen soll. Neben Informationen über den Zustand des Betriebssystems zum Zeitpunkt des Absturzes enthielt dieser Crash Dump jedoch auch den Master Key, um den sich in diesem Fall alles dreht. Leider wurde das von den verantwortlichen Sicherheitssystemen nicht erkannt.
Als dann diese Crash Dump Datei aus dem sicheren Netzwerk in ein unsicheres verschoben wurde, schlugen die Hacker zu. Auch hier versagten Microsofts Sicherheitssysteme, sodass der Vorfall ebenfalls nicht protokolliert wurde.
Welche Dienste sind betroffen?
Wie eine Untersuchung des Sicherheitsunternehmens Wiz ergab, sind die Folgen des kompromittierten Master Keys deutlich weitreichender als zunächst angenommen. Entgegen Microsofts Aussage, dass einzig Outlook.com und Exchange Online betroffen waren, gehen die Sicherheitsforscher davon aus, dass mithilfe des Schlüssel Zugriffs-Token für die verschiedensten Applikationen in Azure Active Directory (AAD) gefälscht werden konnten. Damit hätten die Angreifer Zugriff auf jede Anwendung gehabt, die eine Authentifizierung mit persönlichen Benutzerkonten unterstützt. Dazu zählen SharePoint, Teams oder OneDrive und selbst Kundenanwendungen in der Cloud mit "Login with Microsoft" könnten betroffen gewesen sein.
Es ist davon auszugehen, dass sich die Hacker über Wochen hinweg ungestört als beliebige Nutzer innerhalb der Microsoft-Cloud bewegten. Der kompromittierte Master Key wurde zwar direkt nach Bekanntwerden des Vorfalls durch Microsoft gesperrt, doch kann niemand mit Gewissheit sagen, welcher Schaden angerichtet wurde – oder noch angerichtet wird.
Was genau ist ein Cloud Master Key?
Beim Master Key einer Cloud handelt es sich um einen kryptografischen Schlüssel, der eine zentrale Rolle bei der Sicherstellung von Vertraulichkeit und Integrität der in der Cloud gespeicherten Daten spielt. Er steht an der Spitze der Schlüsselhierarchie und wird dazu verwendet, andere kryptografische Schlüssel zu verschlüsseln oder zu entschlüsseln, die für die eigentliche Verschlüsselung und Entschlüsselung von Daten verwendet werden.
Wenn also ein Benutzer oder eine Organisation Daten in der Cloud speichert, werden diese Daten mit einem speziellen Data Encryption Key (DEK) verschlüsselt. Dieser wird wiederum mit dem Master Key verschlüsselt und in dieser Form in der Cloud gespeichert.
Die genaue Implementierung und Verwaltung von Master Keys kann je nach Cloud-Anbieter und Dienst variieren, aber die Grundprinzipien der Schlüsselverwaltung und Datenverschlüsselung sind überall ähnlich.
Somit ist die Sicherheit des Master Keys von entscheidender Bedeutung, da ein Verlust oder ein kompromittierter Master Key die Sicherheit aller verschlüsselten Daten in der Cloud gefährden könnte. Ausschließlich autorisierte Personen oder Systeme sollten Zugriff auf diesen Schlüssel haben.
Späte Hilfestellung von Microsoft
Nach Bekanntwerden des gestohlenen Master Keys hüllte sich Microsoft zunächst über Wochen hinweg in Schweigen. Inzwischen hat das Unternehmen ein sogenanntes Playbook für Tokendiebstahl für die Azure-Cloud veröffentlicht. Darin erhalten Betroffene konkrete Hilfestellung zu verschiedenen Themen, die im Zusammenhang mit dem gestohlenen Master Key relevant sind:
- Erkennung von Token-Diebstahl: Das Playbook hilft Azure-Nutzern dabei, Anzeichen für den Diebstahl von Zugangs-Tokens zu erkennen. Dies kann durch Überwachung von Ereignissen und Protokolleinträgen in Microsoft Sentinel oder anderen SIEM-Tools erfolgen. Ungewöhnliche Aktivitäten in den Identitäten, Anmelde- und Überwachungsprotokollen, Office-Apps und Endgeräten können auf einen möglichen Token-Diebstahl hinweisen.
- Konfiguration von SIEM-Tools: Das Playbook bietet Anleitungen zur Konfiguration von Security Information and Event Management (SIEM)-Tools wie Microsoft Sentinel, um relevante Ereignisse und Protokolleinträge zu erfassen und zu analysieren. Dies ermöglicht eine umfassende Überwachung und Erkennung von Sicherheitsvorfällen.
- Erkennung von Kompromittierungen: Das Playbook bietet Hinweise und Anleitungen zur Erkennung von Kompromittierungen in Azure AD und anderen Diensten. Dies ist entscheidend, um potenzielle Hintertüren und kompromittierte Zugänge zu identifizieren und zu isolieren.
- Maßnahmen zur Eindämmung: Bei der Erkennung von Kompromittierungen bietet das Playbook auch Ratschläge zur Eindämmung von Sicherheitsvorfällen. Dies kann die Deaktivierung von verdächtigen Konten, die Änderung von Zugangsdaten und andere Schutzmaßnahmen umfassen.
Und die Moral von der Geschicht…
Mittlerweile hat Microsoft laut eigenen Angaben sämtliche Schwachstellen behoben. Darüber hinaus kündigte das Unternehmen die Einführung weitreichender Sicherheitsmaßnahmen für seine Cloud-Dienste an und gelobte auch hinsichtlich der Zusammenarbeit mit Strafverfolgungsbehörden sowie der Kundenkommunikation Besserung.
Doch noch immer wirft der ganze Fall mehr Fragen auf, als es vonseiten Microsoft Antworten gibt. An einer umfassenden Aufklärung zeigt der Softwarehersteller bisher kein ernsthaftes Interesse.
Dabei hätte Microsoft mit einer proaktiven Kommunikation und mehr Transparenz bei der Untersuchung des Falls das erschütterte Vertrauen seiner Kunden ganz einfach –
zumindest in Teilen –
wiederherstellen können. Stattdessen ließ das Unternehmen die Anwender wochenlang im Ungewissen darüber, ob sie zu den Betroffenen zählen und inwiefern Handlungsbedarf besteht.
Welche Auswirkungen Microsofts Verhalten in dieser Sache auf das Ansehen des Unternehmens haben wird, ist ebenso unklar wie das Ausmaß des Hackerangriffs selbst. Manchmal ist Schweigen eben doch nicht Gold.
