Sicherheitsproblem bei Microsoft: Cloud-Lücken viel größer als angenommen

• Dem Cyber-Sicherheitsunternehmen „Wiz“ ist es gelungen, den Microsoft-Key zu erfassen, mit dem sich vermutete chinesische Hacker Zugriff auf Mails von Regierungsbehörden verschafften.
• Folglich hätten die mutmaßlichen digitalen Eindringlinge auf nahezu sämtliche Microsoft-Cloud-Dienste, wie Sharepoint oder Teams, Zugriff haben können. Auch Cloud-Anwendungen von Kunden, die über „Login with Microsoft“ verfügen, hätten eventuell ohne jegliche Hindernisse zugänglich sein können.
• Ob die Angreifer diese potentiellen Zugriffspunkte tatsächlich ausgenutzt haben, bleibt unklar, da Microsoft sich hinter aussageschwachen Verneinungen verbirgt.

Wie das IT-Nachtrichtenportal heise online berichtet, seien im Juni seltsame Vorfälle in den Online-Exchange-Konten von Microsoft von einer US-Behörde gemeldet worden. Diese entdeckte verdächtige Zugriffe auf ihre E-Mails in den Protokolldaten, die von Microsoft als separates Produkt angeboten werden. Die nachfolgende Untersuchung enthüllte ein schwerwiegendes Sicherheitsdebakel, das Microsoft zögerlich und stückweise offenlegte. Es wird vermutet, dass mutmaßlich chinesische Angreifer, von Microsoft als Storm-0558 bezeichnet, Zugriff auf das von Microsoft gehostete Exchange Online, insbesondere von europäischen Regierungsbehörden, erlangt hatten.

Hierfür haben die Hacker einen Signaturschlüssel von Microsoft entwendet. Diesen nutzten sie, um sich einen Zugangstoken für Microsoft-Mail-Anwendungen auszustellen. Dadurch konnten die Angreifer auf Mails und deren Anhänge zugreifen. Einen Monat später kann oder möchte Microsoft weiterhin nicht erklären, wie das geschehen konnte. Was es mit mit den ausgestellten Token genau auf sich hat, wird seitens Microsoft nicht genug erklärt. Das Unternehmen benennt weiterhin nicht die von dem Sicheitsproblem betroffenen Produkte. 

Microsoft kann oder möchte immer noch nicht erklären, wie es zu diesem Diebstahl kommen konnte.

Doch es kommt noch schlimmer

Die auf IT-Sicherheit spezialisierten Firma Wiz stellt fest, dass mit diesem gestohlenen Schlüssel Angreifer Zugriff auf die Konten fast aller Microsoft-Cloud-Dienste hätten, wie etwa Outlook, Office, Sharepoint und Teams.

Der gestohlene Schlüssel war für das Azure Active Directory (AAD) bestimmt, das ist wie ein Register für Cloud-Nutzer von Microsoft. Mit diesem Schlüssel konnten die Angreifer Zugangstoken für die Benutzerkonten erstellen und damit auf die Microsoft-Cloud zugreifen. Sogar auf von Unternehmen betriebenen AAD-Instanzen hätten die Angreifer Zugriff erhalten können, wenn diese anderen AAD-Instanzen vertraut und „Login with Microsoft“ erlaubt hätten.

Microsoft hat den gestohlenen Schlüssel jetzt gesperrt, um weitere Zugriffe zu verhindern. Aber es ist möglich, dass die Angreifer zuvor schon Hintertüren in die betroffenen Konten eingebaut haben könnten. Jetzt müsste jedes AAD- und Microsoft-Konto auf unbefugte Aktivitäten hin überprüft werden, was eine große Herausforderung darstellt.

Bisher gibt es keine Beweise dafür, dass Storm-0558 oder eine andere Hackergruppe die Sicherheitslücke über das von Microsoft zugegebene Ausmaß hinaus ausgenutzt hat. Dies könnte an den begrenzten Informationen und eingeschränkten Möglichkeiten zur Überprüfung von Sicherheitsproblemen in den Cloud-Diensten liegen.

Jürgen Schmidt von heise online kommentiert den Vorfall mit: „Microsoft selbst gibt dazu nur die allernötigsten Informationen heraus und in der Folge weiß niemand mehr genau, was eigentlich Sache und wer oder was betroffen ist. Jetzt ist es an den Kunden, von Microsoft mehr Transparenz, Offenlegung aller Informationen rund um diesen Vorfall und vor allem konkrete Hilfestellung bei einer Überprüfung auf mögliche unautorisierte Zugriffe einzufordern.“