Am 16. Juni 2023 hat eine amerikanische Behörde dem Microsoft-Konzern merkwürdige Zugriffe in den von ihr genutzten Microsoft-Diensten gemeldet. Microsoft fand dann heraus: Einer chinesischen Hackergruppe ist es gelungen, einen angeblich hochgesicherten MicroSoftAccountMSA-Signierschlüssel zu stehlen. Microsoft hat den Vorfall runtergespielt, aber die globale Microsoft-Gemeinde bebte. Nun hat Microsoft die Analyse «Results of Major Technical Investigations for Storm-0558 Key Acquisition» veröffentlicht. Darin wird beschrieben, wie es zum Hackererfolg kam und was unternommen worden ist, damit solche Vorfälle nicht mehr möglich sind.

Das ist geschehen

Im Juni 2023 wurde bekannt, dass es einer von Microsoft „Storm-0558“ genannten chinesischen Hackergruppe gelungen war, Zugang zu den in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden sowie Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Die Angreifer waren im Besitz eines privaten MicroSoftAccountMSA-Signierschlüssels für Microsoft-Konten, und konnten diesen MSA-Schlüssel benutzen, um gefakte Sicherheitstoken für den OutlookWebAccessOWA und Outlook.com zu generieren. Diese Sicherheitstoken liessen sich auf Grund eines Verifizierungsbugs sowohl für Zugriffe auf private Microsoft-Konten als auch für Zugriffe auf Azure-Active-Directory-Konten und wohl auch auf Azure-Apps missbrauchen. Microsoft hatte das offiziell eingestanden, spielte aber den Vorfall gezielt herunter. Das Ganze entwickelte sich dann allerdings zu einem veritablen Sicherheits-GAU, denn die Angreifer tummelten sich offenbar schon seit Mai 2023 unerkannt in den Systemen. Das mutmassliche Ausmass des gesamten Desasters wird in einer Untersuchung des Wiz Research-Teams beschrieben. Die Angreifer haben mit den gefälschten Zugriffstokens die Möglichkeit gehabt, E-Mails, Anhänge und Konversationen herunterzuladen und auf Mailordner-Informationen zuzugreifen. Dies haben die Angreifer insbesondere auch bei Konten von 25 Unternehmen und vornehmlich europäischen Behörden getan. Wie viele individuelle Konten bei diesen Institutionen betroffen sind, ist jedoch nicht bekannt. Auch blieb unklar, wie die Angreifer an den privaten MicroSoftAccountMSA-Signierschlüssel gelangen konnten.

Microsoft enthüllt, wie es zum Hackererfolg kam

In der Analyse «Results of Major Technical Investigations for Storm-0558 Key Acquisition» erläutert Microsoft: Der gestohlene private MicroSoftAccountMSA-Signierschlüssel wurde in einer hochgesicherten Produktionsumgebung verwaltet. Im April 2021 gab es auf einem solchen hochgesicherten System einen Crash. Wie gewohnt wurde bei diesem Crash zwecks Fehleranalyse ein «Crash-Dump» erstellt. Das ist ein Abbild des Speicherinhalts im Moment des Crashs. Nun kommt die Crux: Anders als es vorgesehen ist, war in diesem «Crash-Dump» der dann gestohlene Schlüssel enthalten. Das ist unglücklicherweise von den weiteren Sicherheitsmechanismen nicht entdeckt worden. Das Abbild des Speicherinhalts im Moment des Crashs ist dann in die Debugumgebung, dem Werkzeug zum Diagnostizieren und Auffinden von Fehlern in Computersystemen, verschoben worden. In der Debugumgebung ist ein Internetzugriff wieder möglich. Genau in diesem Zeitpunkt sei das Konto eines Entwicklers gehackt oder abgephisht worden, der zu dieser Abbilddatei Zugang hatte. Die chinesischen Angreifer hätten auf diesem Weg den «Crash-Dump» und darin auch den Schlüssel entdeckt.

Weshalb funktionierte der private Schlüssel auch bei Unternehmenskonten?

Fragt sich, weshalb der gestohlene Schlüssel, der für das Signieren von Privatkundenkonten genutzt wurde, auch Zugriff auf Mails von Unternehmen erlaubte. Dazu meint Microsoft: Dies sei passiert, weil man ab 2018 die Infrastruktur zur Verwaltung von Privat- und Unternehmenskonten vereinheitlicht und zusammengeführt habe. Es habe zwar Regeln gegeben, welche Schlüssel für welche Zwecke zu benutzen seien. Es wurde offenbar aber unterlassen, in bestehenden Dokumentationsbibliotheken und Schnittstellen eine falsche Verwendung dieser Schlüssel technisch zu unterbinden.

Verbesserungsmassnahmen von Microsoft

Aufgrund seiner Analyse hat Microsoft die folgenden Verbesserungsmassnahmen getroffen:

• Man wird in Zukunft verhindern, dass Signierschlüssel wie der gestohlene in «Crash-Dumps» landen können.
• Die Erkennung allenfalls trotzdem vorhandener Signierschlüssel in «Crash-Dumps» ist verbessert worden.
• In der Debugumgebung wird künftig genauer nach allfälligen Signierschlüsseln gesucht.
• Die Bibliotheken sind verbessert worden, damit kein Signieren von Unternehmenselementen mit einem privaten Signierschlüssel möglich ist.

Anhaltende Kritik der Fachwelt an Microsoft

Wie der PCtipp im Artikel «Microsoft: Details zum kürzlichen Schlüssel-Diebstahl» schreibt, bleiben trotz der veröffentlichten Microsoft-Analyse «Results of Major Technical Investigations for Storm-0558 Key Acquisition» Fragen offen: «Zu denken gibt in Sicherheitskreisen namentlich auch die Tatsache, dass der entwendete Schlüssel schon im Jahr 2021 abgelaufen sei. Eine Prüfung, ob der Schlüssel noch gültig sei, war offenbar vergessen worden, was den chinesischen Angreifern dessen Nutzung überhaupt erst erlaubte.» Zu diesem Punkt äusserte sich Microsoft bis anhin immer noch nicht.