Bereits im Mai 2023 wurden die Clouddienste des Konzerns erfolgreich angegriffen. Unbefugten gelang der Zugriff auf eine unbekannte Zahl fremder E-Mail Konten von „etwa 25 Organisationen“ – darunter Regierungseinrichtungen aus den USA und dem Westen Europas. Ursache ist eine schwere Sicherheitslücke, die von der US-Regierung entdeckt wurde, nachdem diese selbst ein Opfer war.
Die Cloud steht über einen Monat lang für Angreifer offen
Laut Microsoft wurde die Sicherheitslücke ab dem 15. Mai 2023 ausgenutzt. Erst am 16. Juni begann der Konzern damit, Nachforschungen anzustellen. Anlass dazu waren Meldungen von Kunden, die unbefugten Zugang zu ihren Cloudkonten bemerkten. Eigenen Aussagen nach dauerte es nun weitere Wochen, bis die Untersuchungen auf die Schwachstelle in den hauseigenen Systemen bemerkten.
Microsoft veröffentlichte zwei Blogeinträge, die zur Ursache jedoch nur einen kleinen Absatz enthalten: Demnach haben die Täter einen Schlüssel für Microsoft-Konten (MSA-Key) entwendet. Wie genau wird verschwiegen. Der Angreifer habe sein „Token-Validierungsproblem“ ausgenutzt, womit er sich als Azure Active Directory (AAD) Benutzer ausgeben und mit der Web-Version von Outlook Zugriff auf die E-Mails erhielt.
Die US-Regierung weiß mehr als der Hersteller
Besser informiert ein Bericht der CISA (US Cybersecurity and Infrastructure Security Agency). Sie ist für die Sicherheit der (digitalen) Infrastruktur verantwortlich und beschreibt zumindest, wie der Angriff entdeckt wurde: Bei der routinemäßigen Prüfung der Audit-Protokolle ist aufgefallen, dass ein unüblicher Client auf E-Mails mittels Outlook Web (OWA) zugegriffen hat. Dies brachte die anfangs erwähnte Prüfung ins Rollen, wodurch Microsoft den Angriff viele Wochen später bemerkte und reagierte.
Demnach wurde tatsächlich ein MSA-Schlüssel von Microsoft entwendet, den Microsoft schlussendlich ersetzte. Unklar bleibt, wie das möglich war. Da es ein interner Microsoft-Schlüssel ist, muss entweder ein Mitarbeiter kompromittiert worden sein. Oder der Angreifer hat Microsofts Systeme gehackt. Grundlage könnte beispielsweise das letzte schwere Sicherheitsproblem in der Azure-Cloud sein, das weitreichenden Zugriff auf zahlreiche interne Systeme für jeden ermöglichte. Aber auch zahlreiche weitere Sicherheitslücken kommen in Frage. Beides ist somit absolut realistisch.
Schutzmaßnahmen kosten bei Microsoft extra
Das CISA-Dokument enthält neben der Aufarbeitung auch Schutzmaßnahmen, mit denen Cloudumgebungen sicherer gestaltet werden können. Darunter auch das Aktivieren und Überwachen verschiedener Protokolle. Dies dürfte wenig überraschen, nachdem der Angriff und die daraus später resultierenden Sicherheitslücken nur durch solch eine Prüfung überhaupt aufgefallen sind.
Möglicherweise weniger bekannt dürfte dagegen der Umstand sein, dass der Zugriff auf alle Protokolle nicht in jedem Cloud-Abo von Microsoft enthalten ist. Man kann es auch nicht einzeln dazu buchen, sondern muss sich für das teuerste Abonnement entscheiden. Microsoft 365 E5 beispielsweise enthält alle Audit-Protokolle, schlägt dafür aber mit derzeit 716,40 Euro zu Buche – pro Mitarbeiter und Jahr versteht sich.
Dies finden auch die Regierungsorganisationen in den USA nicht gut, wie ein Zitat in der Washington Post zeigt. Nach dem SolarWinds-Angriff hatte Microsoft leichte Verbesserungen vorgenommen und zumindest Regierungskunden kostenfrei Zugriff auf umfangreiche Protokolle gewährt – alle „normalen“, privaten Kunden müssen nach wie vor mehr bezahlen oder darauf verzichten.
Wessen Daten wurden gehackt?
9 der insgesamt 25 betroffenen Organisationen befinden sich in den USA. Derzeit sind nur zwei öffentlich und konkret bekannt: Das Außenministerium und Handelsministerium in den USA. Das Außenministerium stellte fest, dass es sich um kein Sicherheitsproblem in der eigenen Infrastruktur handelt, sondern um eine Schwachstelle im Clouddienst von Microsoft. Daraufhin informierte das Unternehmen den Konzern. Durch die Beteiligung einer Regierungsorganisation wurde die Schwachstelle öffentlich.
Laut der Washington Post sind Anwälte für Menschenrecht und Mitglieder von Denkfabriken ebenfalls betroffen, ohne diese namentlich zu nennen. In diesen Branchen ist natürlich mit besonders sensiblen Daten zu rechnen. Erfolgte keine Ende-zu-Ende-Verschlüsselung, sind diese Daten unkontrolliert in fremde Hände gelangt. Da diese vollen Zugang zu den Microsoft-Konten hatten, muss sogar von Manipulation ausgegangen werden – kurzum: Die Daten sind kompromittiert.
„Nur“ Outlook – Spielt Microsoft die Brisanz herunter?
Laut FBI hatten die Angreifer „nur“ Zugriff auf die Posteingänge, in denen zudem keine Verschlussachen liegen sollten. Schon alleine das halte ich für brisant: Könnt ihr die Hand dafür ins Feuer legen, dass sich jeder Mitarbeiter zu 100% an die Klassifizierung hält? Aus Erfahrung würde ich das definitiv nicht tun. Selbst wenn dort hypothetisch nichts interessantes drin liegt: Der Angreifer kann die Kommunikation manipulieren oder missbrauchen. Phishing und andere Betrügereien sind wesentlich erfolgreicher, wenn sie sich auf Kollegen, Projekte und andere vermeintlich harmlose interne Informationen berufen.
Noch brisanter wird es, wenn man die Blogeinträge von Microsoft genau ließt und kritisch reflektiert: Der Konzern kommuniziert geschickt, um den Eindruck zu erwecken, es sei „lediglich“ Outlook im Web betroffen. Habt ihr euch schon mal an OWA angemeldet? Damit seid ihr in der Regel per SSO auch in andere Microsoft-Dienste eingeloggt. Da die gerne als Abo im Microsoft (ehemals Office) 365 Paket verkauft werden, nutzen v.a. Unternehmen oft noch weitere.
Außerdem spricht Microsoft von „impersonate Azure AD“. Azure Active Directory ist der zentrale Verzeichnisdienst für alle Clouddienste des Unternehmens. Wenn man sich durch das Zertifikat und die zweite Schwachstelle als AAD-Benutzer ausgeben kann, wie es Microsoft vorsichtig behauptet, dann ist dieses Thema noch weitaus brisanter. Es würde schlussendlich alle Clouddienste des Konzerns betreffen. Scheint Microsoft eben so wenig zu stören, wie die zwei nicht näher beschriebenen Angriffsvektoren. Man brüstet sich im Blog damit, den Angriff entschärft zu haben. Der Schlüssel wurde ja schließlich getauscht – was interessieren da schon Details, wie er überhaupt in die Hände von Angreifern gekommen ist? Ähnliche Gedanken macht sich auch der Sicherheitsforscher Sicherheitsforscher Kevin Beaumont. Er kritisiert auf Mastodon zudem, dass Microsoft Sicherheitslücken nicht als solche benennt und keine SVEs vergibt, wie es bei selbst gehosteter Software üblich ist.
Wer sind die Angreifer?
Kurzum: Das weiß man nicht mit Sicherheit, wie bei solchen Angriffen üblich. Microsoft schreibt sie Storm-0558 zu, die sich auf Spionage gegen Regierungsorganisationen spezialisiert haben sollen. „Storm“ nutzt der Konzern, um neue Hackergruppen zu identifizieren. Dies zeigt, wie wenig darüber bekannt ist. Fakt ist, dass Microsoft einen Angreifer entdeckt hat, der aus China heraus operiert. Das kann von der chinesischen Regierung persönlich bis hin zum Angriff unter falscher Flagge von einem anderen Staat alles mögliche sein. Digitale Angriffe nachzuverfolgen ist v.a. auf diesem Niveau schwierig. Die US-Regierung selbst hat daher noch keine Gruppe oder Regierung als verantwortlich benannt.
Aus Sicht der IT spielt es keine große Rolle. Spätestens seit dem von Edward Snowden enthüllten Überwachungs- und Spionageskandal ist bestens dokumentiert: Alle Industrienationen überwachen, spionieren und manipulieren. Ob wir uns gegen China, Russland, oder auch die USA bzw. Großbritannien verteidigen, ist kein fundamentaler Unterschied.
Fazit: Es dauerte keine 3 Monate bis zur nächsten Katastrophe
Obwohl Microsoft als Betreiber die Verantwortung für Sicherheitsmängel im eigenen Clouddienst trägt, enthalten die zwei veröffentlichten Blogeinträge sehr viel PR: Man kümmert sich, obwohl alles schon sicher ist, werde es zukünftig noch viel sicherer usw. Zum Vorfall selbst enthält es wenig. Obwohl dieser offensichtlich deutlich brisanter ist, als es der Konzern geschickt kommuniziert. Es wird nicht von einer Sicherheitslücke gesprochen, obwohl es mindestens zwei gab.
Das wirft einmal mehr kein gutes Licht auf den Konzern, der regelmäßig durch schwere Sicherheitslücken und einem fragwürdigen Umgang damit auffällt. Im April hatte ich über BingBang berichtet, die hunderte Millionen Cloudkunden gefährdete. Darunter sogar zahlreiche interne Microsoft-Systeme wie z.B. von Bing mit Petabytes von Daten, auf die jeder zugreifen konnte. Damals hatte das Unternehmen sehr viel Glück. Dass es nur eine Frage der Zeit ist, bis sie das nicht mehr haben, hatte ich damals bereits prognostiziert. Es überrascht mich jedoch, dass es nur drei Monate dauerte. So wie Microsoft damit umgeht und durch geschickte Kommunikation die Brisanz herunterspielt, wird es in deren Cloud sicher nicht zum letzten Mal geknallt haben.
Quellen und weiterführende Informationen
- https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/
- https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/
- https://www.washingtonpost.com/national-security/2023/07/12/microsoft-hack-china/
- https://www.cisa.gov/sites/default/files/2023-07/aa23-193a_joint_csa_enhanced_monitoring_to_detect_apt_activity_targeting_outlook_online.pdf
- https://www.pcwelt.de/article/1992418/microsoft-warnt-hackerangriffe-outlook-konten.html
- https://cyberplace.social/@GossiTheDog/110701234403703230
- https://www.borncity.com/blog/2023/07/13/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt/
- https://techcrunch.com/2023/07/12/chinese-hackers-us-government-microsoft-email/
- https://www.theverge.com/2023/7/12/23792371/security-breach-china-us-government-emails-microsoft-cloud-exploit
- https://www.wsj.com/articles/china-hacking-was-undetectable-for-some-who-had-less-expensive-microsoft-services-58730629?st=569uonfyj4ujibn&reflink=desktopwebshare_permalink
- https://www.heise.de/news/Jetzt-patchen-Krypto-Miner-schluepft-durch-OMIGOD-Luecken-auf-Azure-Server-6195928.html
- https://winfuture.de/news,120119.html
- https://www.it-daily.net/it-sicherheit/cybercrime/bereits-83-prozent-aller-unternehmen-opfer-erfolgreicher-phishing-attacken