Diese Schwachstelle hat es selbst für Microsofts Verhältnisse in sich: Sowohl Kunden von Azure Active Directory (AAD) sind betroffen – aber auch die eigenen Office/Microsoft 365 Dienste mit Outlook, Teams, SharePoint, OneDrive & diversen weitere. Angreifer konnten sogar die Suchergebnisse von Bing manipulieren und auf sensible interne Systeme des Konzerns mit vollen Rechten zugreifen. Was in der Microsoft-Cloud schief gelaufen ist, warum die Ursache trivial war und wie selbst Microsoft selbst darauf hereinfallen konnte, erklärt dieser Beitrag.
Vorwissen: Wie Daten in der Microsoft-Cloud zugeordnet werden
Azure Active Directory (AAD) ist Microsofts Identitätsdienst für die eigene Azure-Cloud. Vereinfacht gesagt legt man dort Microsoft-Benutzerkonten an und vergibt Rechte, damit sich Nutzer an Internetdiensten wie Office 365 oder (eigenen) Drittanbieter-Anwendungen anmelden können. Es ist die Cloud-Variante vom Active Directory (AD): Der 1999 entwickelte zentrale Verzeichnisdienst aus der lokalen Serverwelt für Mitarbeiterkonten, Gruppen, Server, Freigaben und weitere Objekte in Windows-Umgebungen. AAD wird von Microsoft als sicher beworben.
In der Microsoft Office Cloud gibt es eindeutige Tenant (Mandanten), zu Deutsch Mieter. Dabei handelt es sich um eine Instanz der Clouddienste für eine Organisation, wie z.B. ein Unternehmen. Ihm werden alle Daten zugeordnet, ähnlich wie die im Mietvertrag enthaltenen Leistungen eines Mieters. Nur sind es hier eben digitale Leistungen, die in einer logischen Einheit mit dem jeweiligen Unternehmen verknüpft werden.
Ein falscher Klick in Azure Active Directory führt zur Katastrophe
Wer seine Anwendungen in der Azure-Cloud hostet, nutzt oft das dort angebotene Azure Active Directory zur Authentifizierung. Mit wenigen Klicks lässt sich eine Anwendung an AAD anbinden. Bei der Einrichtung muss man festlegen, woher berechtigte Konten stammen: Nur aus dem eigenen Tenant oder aus jedem beliebigen AAD aller Kunder in der Azure-Cloud. Letzteres ist dafür Gedacht, wenn z.B. eine Unternehmensgruppe für jedes Unternehmen mehrere Tenants einsetzt und eine Anwendung für alle verfügbar machen möchte.
Die Multi-Tenant Einstellung hat es jedoch in sich: Microsoft führt damit nur die Authentifizierung durch, d.H. es wird geprüft, ob die Anmeldedaten zu einem beliebigen AAD-Konto stimmen. Eine Autorisierung, die prüft, ob das Konto für den Zugriff berechtigt ist, findet nicht statt. Schließlich weiß Microsoft nicht, welche Tenants/Nutzer den Zugriff haben sollen. Anders ausgedrückt: Jeder Microsoft-Kunde mit AAD kann sich erfolgreich anmelden. Man muss also danach in der Anwendung selbst prüfen, ob der Benutzer aus einem bekannten Tenant stammt und ob er zur Anmeldung berechtigt sein soll. Die einfache Maske verbirgt diese Komplexität, mit der viele nicht gerechnet haben.
25% der geprüften Instanzen sind verwundbar, inklusive Microsoft selbst
In einer von Wiz Research analysierten Stichprobe führten 1/4 diese Prüfung nicht durch, sodass sich jeder anmelden konnte. Und das ist „nur“ die Spitze vom Eisberg: Darunter befindet sich auch die Administrationsoberfläche von Microsofts Suchmaschine Bing. Mit wenigen Mausklicks war es ohne weitere Hindernisse möglich, z.B. die Suchergebnisse zu manipulieren oder das Hintergrundbild – nahezu volle Kontrolle also. Zwar ist Bing nicht so verbreitet wie Google, aber durch seine Marktmacht und KI erreichte sie im März 2023 stolze 100 Millionen Nutzer pro Tag. Alleine damit ließe sich also schon viel Schaden anrichten.
Die Administrationsoberfläche enthält jedoch eine kritische XSS-Schwachstelle. Durch sie kann ein Widget attackiert werden, das berufliche Daten aus dem Microsoft Tenant über die Office 365 anzeigt. So ist es möglich, auf nahezu alle Office 365 Daten des Opfers zuzugreifen: Etwa Outlook inklusive Kalender und Mails, Microsoft Teams, SharePoint, OneDrive und weitere Clouddienste.
Auch das ist nicht alles: Nicht nur das Bing-Team war mit der Komplexität von AAD überfordert, sondern zahlreiche weitere interne Systeme:
- Mag News ist eine Verwaltungsoberfläche, über die Newsletter von MSN verschickt werden. Das Kürzel steht für Microsoft Network und ist ein seit 1995 existierendes Nachrichtenportal. Mit Platz 45 meist aufgerufenen Internetseiten verfügt es über eine hohe Reichweite.
- CNS API sendet interne Benachrichtigungen an Entwickler von Microsoft. Hier wäre es leicht möglich gewesen, authentisch sensible Mitarbeiter zu infizieren oder zu manipulieren.
- Eine Schnittstelle ermöglicht Zugriff auf das Contact Center, welches für die Hotline-Mitarbeiter genutzt wird.
- PoliCheck ist ebenfalls ein internes Werkzeug, dass eine Liste von zensierten Begriffen enthält, die nicht verwendet werden sollen. Es ist in über 100 Sprachen verfügbar und enthält neben Schimpfwörtern auch Beleidigungen, rechtlich umstrittene und geopolitische Begriffe.
- Die Administrationsoberfläche bietet vollen Zugriff auf den Power Automate Blog. Er ist unter powerautomate.microsoft.com/en-us/blog verfügbar und enthält Artikel rund um die Automatisierung von Abläufen zwischen Clouddiensten.
- COSMOS ist ein Dateiverwaltungssystem mit mehr als 4 Exabytes interner Microsoft-Daten von verschiedenen Abteilungen und Teams. 4 EB entspricht 4.000.000 Terrabyte.
BingBang wurde die Schwachstelle von den Sicherheitsforschern getauft. Wenngleich dies sehr eindrucksvoll zeigt: Bing ist nur der Anfang, es sind dadurch zahlreiche weitere Dienste angreifbar.
Fazit: (Versteckte) Komplexität schafft Unsicherheit
Nicht nur Kunden sind davon überrascht, selbst zahlreiche Microsoft-Projekte verstehen nicht, wie sie die eigenen Clouddienste sicher betreiben – mit verheerenden Folgen. Es gab zwar bereits einige Angriffe gegen Azure & co, teils mit schweren Sicherheitslücken von Microsoft. Jedoch waren noch nie so viele Nutzer und vor allem nicht die eigenen Clouddienste betroffen, sondern „nur“ die Kunden.
Daraus lässt sich lernen, dass zwei Ursachen zu dieser neuen Dimension von Sicherheitslücken geführt haben: Einerseits wird die Cloud durch neue Funktionen immer komplexer. Auf der anderen Seite möchte man es dem Kunde aber so einfach wie möglich machen. Schließlich wird die Cloud gerne damit beworben, günstiger und schneller zu sein. Somit wird versucht, diese Komplexität zu verstecken. Ein einziger Klick genügt, um eine Anwendung für jeden freizugeben. Die Sicherheit wird dabei vernachlässigt. Microsoft wälzt sie auf den Nutzer ab, was denen wiederum oft gar nicht klar ist – selbst der eigene Konzern ist davon überfordert.
Diese Konstellation hätte für Microsoft ein EternalBlue völlig neuen Ausmaßes werden können, das dem Wachstum ernsthaft schadet. Dass dem nicht so ist, liegt keineswegs an der Milliarde US-Dollar und den über 3.500 Sicherheitsexperten, die Microsoft laut AAD Werbeseite in Sicherheit investiert. Sondern nur am Glück: Ethische Sicherheitsforscher haben dieses massive Problem gefunden und an Microsoft gemeldet – statt es auf dem Schwarzmarkt für astronomische Summen zu verkaufen. Bei derart vielen, sensiblen Daten die in Microsofts Clouddiensten liegen, hätten viele Geheimdienste und Kriminelle großes Interesse. Das wäre für den Konzern und seine Kunden weitaus weniger glimpflich ausgegangen. Bei der zunehmenden Verbreitung der Cloud, die u.a. Microsoft durch aggressives Marketing erzwingt, wird es eine Frage der Zeit sein, bis sich diese Gruppen stärker auf solche Dienste konzentrieren.
Angriffe auf Clouddienste sind nämlich längst keine Theorie mehr. Gerade Microsoft hat zudem bereits gezeigt, dass sie Sicherheit außerhalb der Werbung wenig ernst zu nehmen scheinen. So bekam man erst 2021 durch eine Spyware auf Azure-Servern Vollzugriff. Bis zum nächsten Angriff, bei dem Microsoft weniger Glück hat, ist es nur eine Frage der Zeit. Es empfiehlt sich daher zu hinterfragen, ob es wirklich eine vernünftige Idee ist, derart zentrale Dienste von Drittanbietern zu betreiben – gerade dann, wenn diese bereits gezeigt haben, wie ernst sie das Thema nehmen.