Microsoft hat sich einen Master-Key stehlen lassen. Auch wenn die ausgenutzte Schwachstelle wohl schon geschlossen ist, besteht weiterhin Gefahr, dass Daten entwendet wurden.
Was Unternehmen tun können, um zu prüfen, ob sie betroffen sind, erfahren Sie hier.
Unser Beitrag über den gestohlenen Master-Key im Überblick:
Master-Key gestohlen
Microsoft und die Sicherheit – der alte Dauerbrenner der IT-Welt kommt nicht zur Ruhe. Aktuell macht Microsoft negative Schlagzeilen, weil sich das Unternehmen einen alten Signing Key klauen ließ. Dabei handelt es sich um eine Art Generalschlüssel für die Azure Cloud.
Mittlerweile steht allerdings fest: Mit dem gestohlenen Master-Key konnten die Hacker nicht nur auf Kundendaten in Azure zugreifen sondern auch auf Daten in Outlook.com und Microsoft 365. Und laut Sicherheitsunternehmen Wiz könnten sogar Kunden-Apps in der Cloud mit „Login with Microsoft“ für die Hacker sperrangelweit offen gestanden haben.
Fakt ist: Die Hacker waren mit dem Key in der Lage, auf die Daten zahlreicher Kunden zuzugreifen. Möglich war das, indem sie sich selbst Anmeldedaten für Kunden-Abonnements erstellten. Problem an der Sache ist, dass der gestohlene Signing Key eigentlich nur für Outlook.com gültig sein sollte. Im Laufe der Untersuchungen hat sich aber gezeigt, dass er für große Teile der Microsoft-Cloud funktioniert, auch Azure, Microsoft 365, Share Point und Teams. Der Schaden dürfte also immens sein.
Viele Unternehmen bieten hybrides Arbeiten und somit Arbeiten in der Cloud an. Bild: Pexels/EKATERINA BOLOVTSOVA
Hintergründe zum Master-Key-Diebstahl
Vermutet wird, dass chinesischen Hacker im Frühjahr dieses Jahres damit begonnen haben, gefälschte Authentifizierungstoken für die Azure Cloud zu erstellen, um unter anderem auf die Exchange-Online-Accounts diverser Regierungsbehörden zuzugreifen. Bei Microsoft wird die APT-Gruppe unter dem Namen Storm-0558 geführt.
Die Angreifer hatten ab Mai 2023 Zugriff auf E-Mails von circa 25 Organisationen, die Microsoft-Cloud-Kunden waren. Auch private E-Mail-Accounts von Mitarbeitern waren betroffen. Etwa vier Wochen später wurden die Angriffe entdeckt und die ausgenutzten Schwachstellen laut Microsoft geschlossen. Pikant: Nicht Microsoft hatte den unbefugten Zugriff bemerkt, sondern ein betroffener Azure-Kunde.
Während Microsoft bis vor vier Wochen zu dem Fall geschwiegen hat, weder betroffene Unternehmen informiert noch Lösungswege aufgezeigt hat, ist mittlerweile ein Playbook verfügbar, mit dem Sie die Auswirkungen des Hackerangriffs auf die eigenen Daten bewerten können.
Playbook für Kunden verfügbar
Mit dem Playbook (auch in deutscher Sprache verfügbar) können Sie überprüfen, ob ihr Abonnement betroffen ist. Das Playbook beschreibt, wie Sie Microsoft Sentinel oder ein anderes SIEM-Tool (Security Information and Event Management) konfigurieren müssen, damit dort alle relevanten Ereignisse und Protokolleinträge zusammenlaufen und ungewöhnliche Aktivitäten in den Bereichen Identitäten, Anmelde- und Überwachungsprotokolle, Office-Apps und Endgeräte erkannt werden.
Des Weiteren enthält das Playbook zahlreiche Hinweise, wie Sie eine Kompromittierung erkennen und gegebenenfalls eindämmen können. Auch Maßnahmen zur Wiederherstellung eines sicheren Zustands werden beschrieben. Das Ganze ist mit Screenshots bebildert.
Wenn Sie Fragen zur IT-Sicherheit Ihrer Firmen-IT haben, wenden Sie sich gern an PC-SPEZIALIST in Ihrer Nähe. Mit unseren Services für eine umfassende IT-Sicherheit sind Sie gut aufgestellt. Das i-Tüpfelchen stellt der IT-Basisschutz dar, der die Grundlage einer DSGVO-konformen Firmenausstattung bildet.
Der Absturz eines Servers brachte den Key-Diebstahl ins Rollen. Bild: Pexels/George Becker
Ursache für Key-Diebstahl
Mittlerweile hat Microsoft auch bekanntgegeben, dass ein abgestürzter Server die Ursache dafür war, dass der Master-Key geklaut werden konnte. Der Signatur-Server von Microsoft ist demnach bereits im April 2021 abgestürzt, wobei das System einen sogenannten Crash-Dump (zu Deutsch: Absturzhaufen) erstellt hat. Dabei handeltet es sich um eine Datenkopie. In dieser Kopie war auch der Schlüssel gespeichert, den die Hacker schlussendlich gestohlen haben.
Den Sicherheitssystemen blieb der Master-Key im Crash-Dump verborgen und als die Daten aus dem sicheren Signier-Server in ein unsicheres Netzwerk verschoben wurde, um den Absturz zu untersuchen, nahm das Unglück seinen Lauf.
Hacker kompromittierten das Unternehmenskonto eines Microsoft-Ingenieurs, der Zugriff auf den Crash-Dump hatte. Und so konnten die Hacker den Key spielend leicht erbeuten. Warum Microsoft aber diesen einen Key an den verschiedensten Stellen eingesetzt hat, anstatt für jedes System einen eigenen zu nutzen, ist nicht klar.
_______________________________________________
Quellen: security-insider, heise, heise, Pexels/fauxels (Headerbild)
Schreiben Sie einen Kommentar