Microsoft announced on 14.07.2023 about reported a security incidentwhich affected Exchange Online and Outlook.com customers. According to Microsoft, the Chinese hacker group Storm-0558 has managed to get their hands on a private key for generating access tokens for Exchange Online and Outlook.com. With the private key, the hackers were able to forge access tokens for OWA and Outlook.com and thus gain access to the data. The hackers probably gained significant access to the data of European government agencies.
At first glance, this reads like a standard security vulnerability that has been exploited by clever hackers to gain access to data from Exchange Online - not nice, but it can happen. However, more details are slowly coming to light and revealing the true extent of this vulnerability or security incident.
First of all, hackers have managed to get hold of a Microsoft signature key, with which it was possible to create fake access tokens for Exchange Online and thus access customer data. This in itself is a pretty big deal, as extremely critical keys must be specially protected and must not fall into the wrong hands under any circumstances. In this case, however, that is exactly what happened. Microsoft has not said how the hackers were able to capture the key. Hopefully Microsoft was able to trace the path and close the original vulnerability. However, I have not yet found any information on this.
The next big thing is the fact that Microsoft was made aware of the hacker attack by a US authority and did not realize itself that its own private key was being misused. The US authority was able to determine discrepancies in access to the mailboxes on the basis of logs. Incidentally, these logs are not available to everyone, but were previously an additional paid service. Without the logs, it was therefore impossible to detect this attack. Microsoft has reacted here and will in future offer all customers Access to the logs on. To me, this smells a bit like outsourcing responsibility to the customer. As a customer, I should please find out for myself in future if the global SaaS service Exchange Online is hacked...
However, the full extent of this incident is slowly becoming known. The signature key made it possible according to the security company WIZ not only access to Exchange Online and Outlook.com mailboxes, but also SharePoint Online, Teams and OneDrive. But it gets even worse, because it may also have been possible to use the key to create access tokens for applications connected to Azure AD. If you think about all the things that are authenticated via Azure AD, it makes you want to emigrate to a desert island. If the signature key was a kind of master key for Azure AD, then access to Exchange on-prem (via Modern Hybrid Auth), Azure cloud resources, other cloud services via federation and on-prem servers via Azure Arc could also have been possible, for example. However, this has not yet been confirmed and I hope that this will not turn out to be the case. It's good that Azure AD has just been renamed Entra ID, so the "dirt" remains on Azure AD and not on the new name...
However, even if it was not possible to access all Microsoft cloud resources with this one key, the question arises as to whether such keys exist. Is there a single master key for all Azure services and if so, how is this key protected? That would be the golden ticket of the Microsoft Cloud world, because this type of signature key renders all multiple authentication and access policies ineffective. I'd rather not think about that any further...
Fortunately, these are just my unfounded theories so far, but Microsoft's sparse information policy does not build much trust. There can and will always be security vulnerabilities that lead to serious security incidents, but Microsoft should play its cards close to its chest and act with the utmost transparency, otherwise such incidents will quickly acquire a very bad taste. And no, it doesn't help to offer a log service to customers free of charge. After all, as a customer, I am not responsible for monitoring Microsoft's private keys.
Errata. “ Dass CLOUD günstiger sein Sollte“
Hallo an Alle,
bei jedem Kunden besprechen wir jedes Mal, dass in der Theorie die Basis der 365/Azure Dienste eine hohe Sicherheit bietet, da die technischen Möglichkeiten zum Basis-Schutz, bei einem Anbieter wie Microsoft sehr hoch sind und gerade kleine und mittelständische Kunden meistens dafür gar nicht die Mittel (Geld und Wissen) aufbringen können. Natürlich sind der Cloud-Act, Bedenken der deutschen Behörden (die die Dienste trotzdem selbst nutzen) und auch die Möglichkeit des Beifangs, wenn die Plattform angegriffen wird, immer ein Thema.
Jetzt die Frage/ Anmerkung / Anregung:
Wie stellt ihr mit den zur Verfügung stehenden Mitteln in 365 einen guten Grundschutz her?
Setze ich mal voraus:
– Berechtigungskonzept
– Tiering
– MFA
Was nutzt ihr davon zusätzlich?
– Conditional Access
– Anomalie-Erkennung
– Verschlüsselungen durch Drittanbieter z.B. in Sharepoint oder OneDrive?
Was nutzt ihr in welcher Form? Würde mich einfach mal interessieren.
„technischen Möglichkeiten zum Basis-Schutz, bei einem Anbieter wie Microsoft sehr hoch sind und gerade kleine und mittelständische Kunden meistens dafür gar nicht die Mittel (Geld und Wissen) aufbringen können.“
Das ist nicht ganz korrekt und gilt nur dann wenn man den Anbieter glaubt was er in AG. geschrieben hat. In der Regel steht da ~ für Schäden übernehmen wir keine Verantwortung ~. Nun ja, man sagt „Glauben versetzt die Bergen“ was auch falsch ist weil nicht Glaube sondern Taten tun das und MS & sein Big Boss tun aktuell Alles um die Glaubwürdigkeit komplett zu Verlieren.
Dennoch, glauben kann man Alles, jedem steht das (noch) frei zu tun.
Gruß
Pit
Also meine Annahme ist genauso wenig falsch wie deine richtig ist, aber das ist keine S/W Geschichte. Ich gehe davon aus dass du deine sämtliche Software selbst programmierts oder glaubts du etwas da den Herstellern einfach so? Cloud ist nicht besser oder günstiger, als alles in den eigenen vier Wänden zu haben, sondern nur anders. Die massiven Sicherheitsvorfälle in SSL/TLS Zertifikaten, Supply-Chains und bei so ziemlich jedem Anbieter von Hard- Software sollten einem ja zeigen dass es keine absolute Zuverlässigkeit und Sicherheit gibt. Und nur weil es den einen Hersteller noch nicht erwischt hat, heißt es nicht, dass es nicht noch passiert oder einfach nur noch nicht öffentlich geworden ist.
„Dennoch, glauben kann man Alles, jedem steht das (noch) frei zu tun.“ – Interessant, weißt du da mehr oder was soll das „(noch)“
habe schon hier mal geschrieben, dass man alles lokal in „eigenen 4 Wenden“ machen sollte.
Nun ich finde das alles wunderbar mit dem Hack. Vielleicht fangen die Menschen/Entscheider nachzudenken welche Sicherheit für eigene Daten gibt es in Cloud. Was eindeutig sicher ist, dass „Papier ist geduldig“ und beste Beweis dazu ist EU & EZB (noch ein paar andere)
Schöne Wochenende :-)
Komme mit auf die Insel ohne Internet, wenn es sie noch gibt. Vlt in Deutschland….
Für mich stellt sich jetzt eher die Frage, wenn es einen weitreichenden Master-Key gibt, dann heisst es auch für mich, das MS und Co jederzeit Einblick auf ALLE (meine) Daten egal ob privat oder Firma in Azure hat, oder sehe ich das falsch ?
Sagen wir mal so: Da MS ja auf Befehl jederzeit die Daten an die „Drei-Buchstaben-Dienste“ aushändigen muss, die auf deren Systemen im Inland und Ausland liegen, ist diese Erkenntnis zumindest für mich jetzt nicht so überraschend.
Das Problem hier ist eher, dass das jetzt auch wer anders konnte.
Wie sagte ein weiser Mensch einst: „Es gibt keine Cloud. Es ist nur jemand anderes Computer“.
Lese Dir mal die AGB’s von M$ durch (jawohl – das habe ich mal gemacht). Microsoft schreibt darin, daß Sie sogar auf Deinem Server nachschauen – auch wenn der nicht in Azure, sondern bei Euch im Betrieb steht. Sie entscheiden, ob Daten auf denem Server „relevant“ sind oder nicht… und nicht „DU“ !… das ist kein Witz :(
Gruss Matze
Wie kann ich denn als Azure Kunde ohne erweiterte Logs feststellen, ob jemand meine Daten unberechtigt angefasst hat?
Ich würde hier erwarten, das Microsoft hier Auskunft gibt, wer betroffen war und wer nicht.
Eventuell muß dann eine DSGVO Selbstanzeige gestellt werden….
Der war gut. Seit wann hält sich MS in irgendeiner Art und Weise an die DSGVO? Die versuchen doch mit allen Mitteln zu verschleiern wie weit das Loch klafft. Sieht man ja auch daran, dass sie erst das erweiterte Logging für alle freigeschaltet haben, nachdem darüber berichtet wurde, dass man es mit den normalen Mitteln eben nicht feststellen kann. Die wollen da ja eigentlich Geld für haben.
Gar nicht, soweit ich das verstanden habe. Und angeblich wurden die Betroffenen von ms informiert. Prüfen kann man das ja nicht. ;)
Soweit ich das Ganze verstanden habe haben die Hacker es, wie auch immer, geschafft, an einen MSA Signaturschlüssel zu kommen. Mit dem können die Tokens erstellt werden, mit denen man sich eigentlich an den MS Diensten anmeldet. Diese Art MSA Schlüssel sollen eigentlich nur Tokens für die Privatnutzerdienste (outlook.com z.Bsp.) erstellen können. Für alles was mit AzureAD/Enterprise Kunden zu tun hat gibt es eigentlich separate Signaturschlüssel.
Jetzt kommt aber der eigentliche Klopper: Aufgrund eines Softwarefehlers (wenn’s denn einer war) konnte der gestohlene MSA Schlüssel benutzt werden, um auch Tokens für die Enterprisedienste zu erstellen, was er eigentlich gar nicht hätte können sollen. Damit waren dann EXO, SharePoint Online, Teams, etc. auch betroffen.
Das ist ein absoluter Super-GAU und MS versucht das Ganze mMn massiv runter zu spielen. Alleine die Geschichte mit den Logs ist eine absolute Frechheit. Es bewahrheitet sich mal wieder die alte Weisheit: „Es gibt keine Cloud. Es ist nur jemand anderes Computer“.
die ganze Storry ist schon der Hammer…. :-(
Sobald die Logs für alle verfpgbar sind, BITTE eine Mehrteilige Storry, wie man die Logs nutz, Auswertungen erstellt und Schlüsse daraus schließen kann.
@Sascha ganz einfach ALLES Lokal halten und sich darum kümmern!
Bin zwar nicht Sascha – Aber Systemadministratoren sind selten in der Position zu bestimmen in welche Richtung es gehen soll. ;) Außer es ist eine kleine Bude und die IT wird von einen Mann verwaltet. ;)
Dazu kommt, dass Dienstleister/Systemhäuser mitunter auch massiv den Weg in die Cloud pushen wollen. Und je nach Argumentation springen gerade Nicht-IT Leute (z.Bsp. in der Geschäftsleitung) auch gerne darauf an.
Wir müssen unseren auch immer bremsen und haben ihm schon mehrmals klar gemacht, dass wir z.Bsp. EXO oder auch SharePoint Online nicht wollen, wir bleiben da On-Prem mit unseren Lösungen. Aber bei uns sprechen die auch mit der IT, nicht mit der Geschäftsführung.
Da ist die Geschäftsleitung in meiner Firma zum Glück anders drauf.
Wenn ich denen vorschlagen würde, in die Cloud zu gehen, würden die mit einem Herzinfarkt vom Stuhl kippen.
Dienstleister/Systemhäuser haben auch noch nie das Innere unserer Firma gesehen und werden es auch nicht.
Naja pushen würde ich nicht sagen, aber die großen Anbieter machen es kleinen Unternehmen nicht unbedingt einfacher mit ihren „neuen“ Produkten und der entsprechenden Politik. Die Nutzbarkeit, Verwaltung, Lizensierung und Kosten stehen meistens mit jeder neuen Version nicht in einem guten Preis/Leistungsverhältnis oder Produkte werden immer mehr in grundlegenden Funktionen beschnitten (siehe RDS/VD, da will Microsoft auch alle nach Azure drängen).
Hi, ich bin auch in der guter Position, dass alles vorerst lokal bleibt und ist gewollt. Das es günstiger sein Sollte ist nur Trug, weil diese Teil was günstiger sein sollte zahlt man mit eigenen Daten/Informationen. Wenn dann einer Alles über eine Firma weiß, kann diese sehr einfach übernehmen oder vernichten, ganz einfach. Deswegen weiß nicht ob man das günstiger nennen kann. Bei lokalen Installation entscheidest du selber wie gut / schlecht ist mit deiner Sicherheit und IT.
Beim Cloud = kein Einfluss. Das beste Beispiel ist so ein Apfel Smartphone. Einer Kauf, zahlt hoffen Geld, geht nach hause packt aus und, o Gott er kann das so lange nicht benutzten , so lange sich irgendwo anmeldet ?! Warum wird man dazu gezwungen? Entweder gehört mir das teil oder nicht? Ganz dumme Sache für alle die sich mit Eigentum auseinandergesetzt haben. Einzige Konklusion, das Smartphon obwohl gekauft dennoch gehört nicht dir! Du hast bezahlt und darfs nutzen. Das ist Feudalismus! Das Cloud eben begünstig das noch weiter und treibt uns noch weiter in dieses System. Dabei denken viele dass wir in einer Demokratie leben. Nicht Glauben und Alles hinterfragen! und dann Konsequenzen ziehen. Alles lokal ,was nicht möglich verzichten / umgehen PUNKT.
Also ja, der Punkt ist nicht zu verachten, aber nur, weil dein Exchange-Server bei dir zu Hause steht, heißt das ja noch lange nicht, dass dieser auch sicherer wäre.
Täglich werden x Firmen hochgenommen und dann gehts erst richtig los. Und woran liegts? An unzureichenden Ressourcen, alten Services, ungepatchten Systemen, windigen Bastellösungen (die bestimmt mal getauscht werden, wenn Zeit ist… klar). Ich betreue allerhand Kunden, die aktuell wahnsinnig hinterherhängen oder noch bei irgendwelchen Systemhäusern festhängen und was da teilweise abgeht, möchte ich eigentlich nicht noch mal wiedergeben.
Microsoft als Anbieter für Exchange Online bietet natürlich unfassbar viel mehr Angriffsfläche, hat aber auch erheblich mehr Personal, sich um Sicherheit und ähnliches zu kümmern.
Dennoch: Der Umgang mit diesem Fall ist mindestens zweifelhaft. Keine brauchbare Kommunikation, die nachträgliche Offerierung der nötigen Logs, durch die man sich dann per Hand wühlen muss, keine genaue Angabe des Impacts. Ja uff.
„Microsoft als Anbieter für Exchange Online bietet natürlich unfassbar viel mehr Angriffsfläche, hat aber auch erheblich mehr Personal, sich um Sicherheit und ähnliches zu kümmern.“
Der war gut! Glaubst Du das ernsthaft? Hey, denen ist ein Master-Schlüssel abhanden gekommen!!
Dieses Argument werde ich mir in Zukunft jedenfalls nicht mehr sagen lassen. Wie kann es denn nachhaltiger entkräftet werden, als durch diesen Vorfall?
„Microsoft als Anbieter für Exchange Online bietet natürlich unfassbar viel mehr Angriffsfläche, hat aber auch erheblich mehr Personal, sich um Sicherheit und ähnliches zu kümmern.“
Das wird ja immer gebetsmühlenartig wiederholt. Aber wenn ich mir die Downtimes des letzten Jahres und die Sicherheitsvorfälle so ansehe, dann denke ich mir: Das hätte ich auch alleine hingebastelt bekommen.
Ja, stimmt leider
Ich weiß da gar nicht mehr, was man noch machen soll und wie man da mit Vertrauen weiter machen kann. Also ich gehe davon aus, dass wer auch immer den Schlüssel hat alles und bei jedem gelesen hat und wohl auch immer noch kann. Wie soll man das irgendwie eingrenzen? Ich finde die Idee mit der einsamen Insel wirklich gut. Ich habe auf diese IT Sch…. Keinen Bock mehr. Man macht dich tausend Gedanken wie man was schützen kann und der Player Microsoft versagt so auf ganzer Linie. Danke dir für deine Arbeit
Absolut richtig! Wie schrieb Microsoft bei der Windows 10 Installation: “ Sie können alles uns überlassen!“…Das grundlegende Problem ist, dass nachher immer der kleine/große Anwender in der Verantwortung steht.
Im Endeffekt ist es doch so. Der IT-Admin ist eigentlich nur noch den ganzen Tag damit beschäftigt irgendwelche Softwarebugs auszubessern und Workarounds anzuwenden. Also eigentlich Dinge, die der Softwareentwickler tun müsste bzw. verhindern müsste. Und ganz vorne mit dabei ist der Quasimonopolist Microsoft. Beginnt mit unsauberen Updates, Windows Installationen die sich auf identischen PCs unterschiedlich verhalten, irgendwelche Zwänge ganz dringend alles in die Cloud zu bekommen und und und.
Du bringst es auf den Punkt! Ich habe einige Jahre als „Allround“-IT Admin mit Schwerpunkt Microsoft gearbeitet. Die letzten Jahre war meine tägliche Arbeit genau das. Dieses rumgef***e (sorry für den Ausdruck) mit diesem ganzen Microsoft geraffel brachte mich nahe an die Verzweiflung. Ich hatte irgendwann einfach keine Lust mehr mich weiter mit Produkten aus dem Hause Microsoft zu beschäftigen und habe mich daher auch in der IT umorientiert. Seit nun knapp zwei Jahren arbeite ich im Bereich Network Security und bin rundum glücklich.