Bald zwei Monate nachdem über einen Hackerangriff auf Mail Accounts der US-Regierung berichtet wurde, wissen wir, dass deutlich mehr als nur einzelne Mail-Accounts einer einzelnen Regierung betroffen sind. Dabei zeichnet sich aus den Aspekten, über die keine Informationen verfügbar sind, eine viel größere Bedrohung ab, als Microsoft zugibt. Und auch das BSI schweigt.
Der Inhalt im Überblick
Was ist passiert?
Im Juli berichtete die Washington Post, dass die Mail-Postfächer einiger Regierungsbehörden der USA und westeuropäischer Staaten gehackt wurden. Microsoft machte dafür die Gruppe Storm-0558 verantwortlich, schweigt sich aber über die ganze Tragweite des Vorfalls aus. Inzwischen ist jedoch bekannt, dass sich die Angreifer nicht nur Zugang zu E-Mails verschaffen konnten. Denn der Schlüssel zu diesem Angriff war im wahrsten Sinne ein Schlüssel, kryptographischer Natur. Dieser konnte jedoch nicht nur für Outlook genutzt werden.
Das wissen wir zum Signaturschlüssel
Microsoft hatte bislang nur wenige Informationen zu dem Vorfall geteilt. Jedoch veröffentlichte Microsoft am 6. September einen Artikel über die Ergebnisse der internen Untersuchung zu dem Vorfall. Dazu später mehr. Auf Basis der bisher bekannten Informationen konnten Sicherheitsforscher einige Vermutungen anstellen. Diese belegen mit hoher Wahrscheinlichkeit, warum Microsoft sich nicht über die Ausmaße äußern möchte. Ein Sicherheitsvorfall in der Größe, wie er sich aus den Informationen ableiten lässt, könnte Microsoft einen großen Marktanteil in der Cloud-Sparte kosten.
Wie nun bekannt ist, konnten Angreifer einen Microsoft account (MSA) consumer key erbeuten. Diese Schlüssel werden für die Anmeldung von Endnutzern bei Microsoft Diensten wie Outlook Online verwendet. Genauer gesagt, werden mit diesen Schlüsseln API-Token signiert, die eine erfolgreiche Anmeldung bestätigen und somit Zugriff gewähren, ohne dass die Anmeldedaten erneut eingegeben werden müssen. So konnten dann Zugangstoken zu einer Vielzahl an Microsoft Services, u.a. Teams und Sharepoint, gefälscht werden.
Mit diesem Key wurde eine bislang unbekannte Schwachstelle ausgenutzt. Dadurch konnte dieser MSA Key auch in Enterprise-Umgebungen valide Token produzieren. Mit diesem Schritt war es möglich, Zugang zu eben den Systemen zu erlangen, die Großunternehmen und Regierungen nutzen. Bemerkenswert ist jedoch, wie wenig (öffentlichen) Anstoß eben diese an diesem Vorfall nehmen. Auch knapp zwei Monate nach dem Vorfall, von dem wahrscheinlich auch deutsche Behörden betroffen sind, hat das BSI keine Stellungnahme verfasst.
Einen Lichtblick gibt es jedoch: Im September 2023 will Microsoft den Zugang zu den Event Logs der Cloud-Services mittels Microsoft Purview Audit (Standard) bereitstellen. Diese Logs waren bisher nur Bestandteil des Premium-Pakets und in E5-Lizenzen verfügbar. Dass diese Logs sehr wichtig sind, zeigt dieser Vorfall sehr deutlich. Schließlich wurde nur durch die Auswertung dieser Premium-Logs durch eine US-Behörde überhaupt bekannt, dass es zu dem Vorfall kam.
Microsofts Septemberupdate
Am 6. September erschien ein neuer Blog im Microsoft Security Response Center mit den Ergebnissen der internen Untersuchung. Dem Artikel zufolge stammt der Schlüssel aus einem Informationspaket, dass nach einem Systemfehler im April 2021 generiert wurde. Der Schlüssel gelangte dann trotz einer Prüfung des Informationspakets in eine weniger stark gesicherte Debug-Umgebung im internetverbundenen Unternehmensnetz verschoben. Aus dieser wurde der Schlüssel dem Artikel zufolge dann gestohlen.
Bis zu diesem Punkt war der Schlüssel bereits durch drei fehlerhafte Prozesse gelangt, die nach Angaben von Microsoft mittlerweile korrigiert wurden.
- Der Schlüssel hätte nicht im Informationspaket enthalten sein dürfen.
- Das Schlüsselmaterial wurde in einem Scan des Informationspakets nicht entdeckt.
- Der Schlüssel wurde in der Debug-Umgebung nicht entdeckt.
Weiter informiert der Artikel darüber, warum der Schlüssel auch für Enterprise Systeme verwendet werden konnte. Im September 2018 führte Microsoft den Azure Active Directory v2 authentication endpoint ein. Mit diesem können Anwendungen so konfiguriert werden, dass sowohl geschäftliche und private Accounts zur Anmeldung genutzt werden können. Parallel dazu wurde auch die entsprechende Dokumentation der Schnittstelle angepasst. In dieser wurde dann darauf verwiesen, dass bei der Implementierung der Schnittstelle weitere Faktoren validiert werden müssten.
Die Mail-Systeme wurden dann 2022 dahingehend angepasst, die Authentifizierungsschnittstelle zu nutzen. Dabei nahmen dem Artikel zufolge die Entwickler fälschlicherweise an, dass die vollständige Prüfung bei Verwendung bereitgestellter Softwarebibliotheken automatisch ablaufen würde. Durch diese Annahme wurde ab dem Zeitpunkt in den Mail-Systemen nicht mehr geprüft, ob es sich um einen consumer oder um einen enterprise Key handelte. Um dies für die Zukunft zu vermeiden, wurden die Softwarebibliotheken nun entsprechend angepasst, sodass eine automatische Validierung des gesamten Schlüssels geschieht.
Microsoft berichtete, dass der gestohlene Schlüssel gesperrt wurde und Tokens die mit diesem signiert wurden nicht länger gültig sind. Außerdem seien die oben genannten Schwachstellen behoben worden.
Fest steht aber auch: Es konnte aktiv Einsicht in E-Mails und deren Anhänge genommen werden. Wahrscheinlich konnten auch Daten aus Sharepoint-Instanzen und MS Teams extrahiert werden. Dies ermöglicht sehr spezifisch gerichtete Spear-Phishing Angriffe, bei denen Opfer gezielt ausgewählt werden und deren Inhalte genau auf die Erwartungen des Empfängers angepasst wurden.
Weiterhin ist es möglich, dass Mail-Postfächer von Personen, die sich im Urlaub oder in Elternzeit befanden, für Identitätsdiebstähle missbraucht wurden. So wäre es denkbar, dass längere Zeit ungenutzte Postfächer für Phishing Angriffe aus dem eigenen Unternehmen genutzt werden könnten.
Auch könnten mit der Mail-Adresse verknüpfte Dienste mittels einer „Passwort zurücksetzen“-Funktion gefährdet sein. Nachdem der Angreifer so das Passwort zurückgesetzt haben könnte, könnte dieser seine Spuren auch verwischen, indem die E-Mail zum Zurücksetzen des Passworts gelöscht wird. Solche Zugänge könnten auch weiterhin genutzt werden, nachdem das ursprüngliche Problem durch Sperrung des Keys behoben wurde.
Denkbar ist auch, dass die Angreifer ihren Zugang zu Sharepoint-Instanzen genutzt haben könnten, um dort Freigaben zu erstellen. Diese Zugriffsrechte würden auch weiterbestehen, nachdem der MSA Key gesperrt wurde.
Unsere Empfehlungen
Sofern Sie Systeme verwenden, die ein „Login mit Microsoft“ unterstützen, sollten Sie über die folgenden Punkte nachdenken:
- Stärken Sie die Awareness bei Ihren Angestellten, insbesondere in Bezug zu (Spear-) Phishing.
- Prüfen Sie, ob die Accounts von im Urlaub befindlichen Mitarbeitern Aktivität zeigten, sprechen Sie im Zweifel die Mitarbeiter direkt an.
- Wenn Sie die Möglichkeit haben, nutzen Sie die Premium-Logs in Verbindung mit einem SIEM (Security Information and Event Management) -System, um zu prüfen, ob Sie betroffen sind.
- Prüfen Sie, welche anderen Dienste durch Anmeldung mit Mail-Adressen Ihrer Organisation erreichbar sind.
- Sie sollten prüfen, ob in Ihrem Active Directory Administratorenkonten hinterlegt sind, die keinem Angestellten zugeordnet werden können. Es ist allerdings unwahrscheinlich ist, dass der gestohlene MSA Schlüssel dazu genutzt werden konnte.
- Falls möglich, sollte geprüft werden, ob in Sharepoint Zugriffsberechtigungen vergeben wurden, die nicht dem Unternehmen oder Kunden und Partnern zugeordnet werden können.
- Wenn Sie betroffen sind, sollten Sie in Erwägung ziehen alle Microsoft Passworte zu ändern. Dieser Schritt wird nur bei sehr wenigen Personen zu positiven Reaktionen führen, daher sollte dies nur in Erwägung gezogen werden, wenn ein begründeter Verdacht oder Beweise vorliegen.
Neben diesen Handlungsempfehlungen bleibt abzuwarten, wie die betroffenen Regierungen und Behörden reagieren werden.
