Exchange Online Sicherheitsvorfall weitet sich aus

Microsoft hat am 14.07.2023 über einen Sicherheitsvorfall berichtet, von dem Exchange Online und Outlook.com Kunden betroffen waren. Laut Microsoft ist es der chinesischen Hackergruppe Storm-0558 gelungen, einen privaten SIgnaturschlüssel für das Erzeugen der Zugriffstokens für Exchange Online und Outlook.com in die Hände zu bekommen. Mit dem privaten Schlüssel war es den Hackern möglich, Zugriffstokens für OWA und Outlook.com zu fälschen und somit auf die Daten zuzugreifen. Die Hacker haben sich damit wohl maßgeblich Zugriff auf die Daten von europäischen Regierungsbehörden verschafft.

Im ersten Moment liest sich dass erst einmal wie eine Standard Sicherheitslücke, welche von schlauen Häckern ausgenutzt wurde um an Daten aus Exchange Online zu kommen, nicht schön, kann aber vorkommen. Allerdings kommen so langsam weitere Details an Tageslicht und die eigentliche Tragweite dieser Sicherheitslücke bzw. dieses Sicherheitsvorfalls offenbaren.

Zunächst einmal haben es Hacker geschafft an einen Signaturschlüssel von Microsoft zu kommen, mit dem es möglich war, gefälschte Zugriffstokens für Exchange Online zu erstellen und somit auf die Daten der Kunden zuzugreifen. Dies ist an sich schon ziemlicher Hammer, denn extrem kritisches Schlüssel müssen besonders geschützt werden und dürfen unter keinen Umständen in falsche Hände geraten. In diesem Fall ist aber genau das passiert. Auf welchen Weg die Hacker den Schlüssel erbeuten konnten, gibt es seitens Microsoft keine Aussage. Hoffentlich konnte Microsoft den Weg nachvollziehen und die ursprüngliche Schwachstelle schließen. Dazu habe ich aber noch keine Informationen gefunden.

Der nächste Hammer ist die Tatsache das Microsoft durch eine US-Behörde auf den Hackerangriff aufmerksam gemacht wurde und nicht selbst bemerkt hat, dass hier wohl ein eigener privater Schlüssel missbräuchlich eingesetzt wird. Die US-Behörde konnte anhand von Logs Unstimmigkeiten beim Zugriff auf die Postfächer feststellen. Diese Logs stehen übrigens nicht jedem zur Verfügung, sondern waren bisher ein zusätzlich zu bezahlender Service. Ohne die Logs konnte man diesen Angriff also gar nicht feststellen. Microsoft hat hier reagiert und bietet in Zukunft allen Kunden Zugriff auf die Logs an. Für mich riecht dies ein bisschen wie das Auslagern der Verantwortung an den Kunden. Ich solle doch als Kunde bitte zukünftig selbst feststellen, wenn der globale SaaS Dienst Exchange Online gehackt wird…

So langsam wird aber die ganze Tragweite zu diesem Vorfall bekannt. Der Signaturschlüssel ermöglichte laut der Sicherheitsfirma WIZ nicht nur den Zugriff auf Exchange Online und Outlook.com Postfächer sondern auch SharePoint Online, Teams und OneDrive. Es kommt aber noch herber, denn möglicherweise war es mit dem Schlüssel auch möglich, Zugriffstokens für an das Azure AD angeschlossene Anwendungen zu erstellen. Wenn man sich mal überlegt was so alles über das Azure AD authentifiziert wird, dann wächst der Wunsch auf eine einsame Insel auswandern zu wollen. Wenn es sich bei dem Signaturschlüssel um eine Art Masterkey für das Azure AD handelte, dann könnte beispielsweise auch der Zugriff auf Exchange on-Prem (via Modern Hybrid Auth), Azure Cloud Ressourcen, andere Cloud Services via Federation und on-Prem Server via Azure Arc möglich gewesen sein. Dies ist allerdings bisher nicht bestätigt worden und ich hoffe dass sich dies auch nicht bewahrheitet. Gut das Azure AD gerade in Entra ID unbenannt wurde, so bleibt der „Schmutz“ an Azure AD hängen und nicht am neuem Namen…

Selbst wenn aber nicht mit diesem einem Schlüssel quasi er Zugriff auf sämtliche Microsoft Cloud Ressourcen möglich war, stellt sich aber die Frage, gibt es solche Schlüssel? Gibt es quasi den einen Master Key für alle Azure Dienste und wenn ja, wie wird denn dieser Key geschützt? Das wäre ja das Golden Ticket der Microsoft Cloud Welt, denn diese Art von Signaturschlüsseln machen alle Mehrfachauthentifizierungs- und Zugriffsrichtlinien wirkungslos. Darüber möchte ich lieber nicht weiter nachdenken…

Zum Glück sind das bisher nur meine haltlosen Theorien, jedoch baut Microsoft gerade mit seiner spärlichen Informationspolitik kein großes Vertrauen auf. Sicherheitslücken aus denen ernste Sicherheitsvorfälle entstehen, kann und wird es immer geben, aber hier sollte Microsoft mit offenen Karten spielen und mit größter Transparenz agieren, denn sonst bekommen solche Vorfälle schnell einen ganz üblen Beigeschmack. Und nein, es hilft hier nicht einen vorher kostenpflichtigen Logdienst für die Kunden kostenlos anzubieten. Ich als Kunde bin schließlich nicht dafür zuständig, die privaten Schlüssel von Microsoft zu überwachen.

Exchange Online Sicherheitsvorfall weitet sich aus

28 thoughts on “Exchange Online Sicherheitsvorfall weitet sich aus”

  1. Hallo an Alle,

    bei jedem Kunden besprechen wir jedes Mal, dass in der Theorie die Basis der 365/Azure Dienste eine hohe Sicherheit bietet, da die technischen Möglichkeiten zum Basis-Schutz, bei einem Anbieter wie Microsoft sehr hoch sind und gerade kleine und mittelständische Kunden meistens dafür gar nicht die Mittel (Geld und Wissen) aufbringen können. Natürlich sind der Cloud-Act, Bedenken der deutschen Behörden (die die Dienste trotzdem selbst nutzen) und auch die Möglichkeit des Beifangs, wenn die Plattform angegriffen wird, immer ein Thema.

    Jetzt die Frage/ Anmerkung / Anregung:

    Wie stellt ihr mit den zur Verfügung stehenden Mitteln in 365 einen guten Grundschutz her?

    Setze ich mal voraus:

    – Berechtigungskonzept
    – Tiering
    – MFA

    Was nutzt ihr davon zusätzlich?

    – Conditional Access
    – Anomalie-Erkennung
    – Verschlüsselungen durch Drittanbieter z.B. in Sharepoint oder OneDrive?

    Was nutzt ihr in welcher Form? Würde mich einfach mal interessieren.

    Reply
    • „technischen Möglichkeiten zum Basis-Schutz, bei einem Anbieter wie Microsoft sehr hoch sind und gerade kleine und mittelständische Kunden meistens dafür gar nicht die Mittel (Geld und Wissen) aufbringen können.“
      Das ist nicht ganz korrekt und gilt nur dann wenn man den Anbieter glaubt was er in AG. geschrieben hat. In der Regel steht da ~ für Schäden übernehmen wir keine Verantwortung ~. Nun ja, man sagt „Glauben versetzt die Bergen“ was auch falsch ist weil nicht Glaube sondern Taten tun das und MS & sein Big Boss tun aktuell Alles um die Glaubwürdigkeit komplett zu Verlieren.
      Dennoch, glauben kann man Alles, jedem steht das (noch) frei zu tun.
      Gruß
      Pit

      Reply
      • Also meine Annahme ist genauso wenig falsch wie deine richtig ist, aber das ist keine S/W Geschichte. Ich gehe davon aus dass du deine sämtliche Software selbst programmierts oder glaubts du etwas da den Herstellern einfach so? Cloud ist nicht besser oder günstiger, als alles in den eigenen vier Wänden zu haben, sondern nur anders. Die massiven Sicherheitsvorfälle in SSL/TLS Zertifikaten, Supply-Chains und bei so ziemlich jedem Anbieter von Hard- Software sollten einem ja zeigen dass es keine absolute Zuverlässigkeit und Sicherheit gibt. Und nur weil es den einen Hersteller noch nicht erwischt hat, heißt es nicht, dass es nicht noch passiert oder einfach nur noch nicht öffentlich geworden ist.

        „Dennoch, glauben kann man Alles, jedem steht das (noch) frei zu tun.“ – Interessant, weißt du da mehr oder was soll das „(noch)“

        Reply
  2. habe schon hier mal geschrieben, dass man alles lokal in „eigenen 4 Wenden“ machen sollte.
    Nun ich finde das alles wunderbar mit dem Hack. Vielleicht fangen die Menschen/Entscheider nachzudenken welche Sicherheit für eigene Daten gibt es in Cloud. Was eindeutig sicher ist, dass „Papier ist geduldig“ und beste Beweis dazu ist EU & EZB (noch ein paar andere)
    Schöne Wochenende :-)

    Reply
  3. Komme mit auf die Insel ohne Internet, wenn es sie noch gibt. Vlt in Deutschland….

    Für mich stellt sich jetzt eher die Frage, wenn es einen weitreichenden Master-Key gibt, dann heisst es auch für mich, das MS und Co jederzeit Einblick auf ALLE (meine) Daten egal ob privat oder Firma in Azure hat, oder sehe ich das falsch ?

    Reply
    • Sagen wir mal so: Da MS ja auf Befehl jederzeit die Daten an die „Drei-Buchstaben-Dienste“ aushändigen muss, die auf deren Systemen im Inland und Ausland liegen, ist diese Erkenntnis zumindest für mich jetzt nicht so überraschend.
      Das Problem hier ist eher, dass das jetzt auch wer anders konnte.
      Wie sagte ein weiser Mensch einst: „Es gibt keine Cloud. Es ist nur jemand anderes Computer“.

      Reply
    • Lese Dir mal die AGB’s von M$ durch (jawohl – das habe ich mal gemacht). Microsoft schreibt darin, daß Sie sogar auf Deinem Server nachschauen – auch wenn der nicht in Azure, sondern bei Euch im Betrieb steht. Sie entscheiden, ob Daten auf denem Server „relevant“ sind oder nicht… und nicht „DU“ !… das ist kein Witz :(

      Gruss Matze

      Reply
  4. Wie kann ich denn als Azure Kunde ohne erweiterte Logs feststellen, ob jemand meine Daten unberechtigt angefasst hat?
    Ich würde hier erwarten, das Microsoft hier Auskunft gibt, wer betroffen war und wer nicht.
    Eventuell muß dann eine DSGVO Selbstanzeige gestellt werden….

    Reply
    • Der war gut. Seit wann hält sich MS in irgendeiner Art und Weise an die DSGVO? Die versuchen doch mit allen Mitteln zu verschleiern wie weit das Loch klafft. Sieht man ja auch daran, dass sie erst das erweiterte Logging für alle freigeschaltet haben, nachdem darüber berichtet wurde, dass man es mit den normalen Mitteln eben nicht feststellen kann. Die wollen da ja eigentlich Geld für haben.

      Reply
    • Gar nicht, soweit ich das verstanden habe. Und angeblich wurden die Betroffenen von ms informiert. Prüfen kann man das ja nicht. ;)

      Reply
  5. Soweit ich das Ganze verstanden habe haben die Hacker es, wie auch immer, geschafft, an einen MSA Signaturschlüssel zu kommen. Mit dem können die Tokens erstellt werden, mit denen man sich eigentlich an den MS Diensten anmeldet. Diese Art MSA Schlüssel sollen eigentlich nur Tokens für die Privatnutzerdienste (outlook.com z.Bsp.) erstellen können. Für alles was mit AzureAD/Enterprise Kunden zu tun hat gibt es eigentlich separate Signaturschlüssel.
    Jetzt kommt aber der eigentliche Klopper: Aufgrund eines Softwarefehlers (wenn’s denn einer war) konnte der gestohlene MSA Schlüssel benutzt werden, um auch Tokens für die Enterprisedienste zu erstellen, was er eigentlich gar nicht hätte können sollen. Damit waren dann EXO, SharePoint Online, Teams, etc. auch betroffen.
    Das ist ein absoluter Super-GAU und MS versucht das Ganze mMn massiv runter zu spielen. Alleine die Geschichte mit den Logs ist eine absolute Frechheit. Es bewahrheitet sich mal wieder die alte Weisheit: „Es gibt keine Cloud. Es ist nur jemand anderes Computer“.

    Reply
  6. die ganze Storry ist schon der Hammer…. :-(

    Sobald die Logs für alle verfpgbar sind, BITTE eine Mehrteilige Storry, wie man die Logs nutz, Auswertungen erstellt und Schlüsse daraus schließen kann.

    Reply
    • Bin zwar nicht Sascha – Aber Systemadministratoren sind selten in der Position zu bestimmen in welche Richtung es gehen soll. ;) Außer es ist eine kleine Bude und die IT wird von einen Mann verwaltet. ;)

      Reply
      • Dazu kommt, dass Dienstleister/Systemhäuser mitunter auch massiv den Weg in die Cloud pushen wollen. Und je nach Argumentation springen gerade Nicht-IT Leute (z.Bsp. in der Geschäftsleitung) auch gerne darauf an.
        Wir müssen unseren auch immer bremsen und haben ihm schon mehrmals klar gemacht, dass wir z.Bsp. EXO oder auch SharePoint Online nicht wollen, wir bleiben da On-Prem mit unseren Lösungen. Aber bei uns sprechen die auch mit der IT, nicht mit der Geschäftsführung.

        Reply
        • Da ist die Geschäftsleitung in meiner Firma zum Glück anders drauf.
          Wenn ich denen vorschlagen würde, in die Cloud zu gehen, würden die mit einem Herzinfarkt vom Stuhl kippen.
          Dienstleister/Systemhäuser haben auch noch nie das Innere unserer Firma gesehen und werden es auch nicht.

        • Naja pushen würde ich nicht sagen, aber die großen Anbieter machen es kleinen Unternehmen nicht unbedingt einfacher mit ihren „neuen“ Produkten und der entsprechenden Politik. Die Nutzbarkeit, Verwaltung, Lizensierung und Kosten stehen meistens mit jeder neuen Version nicht in einem guten Preis/Leistungsverhältnis oder Produkte werden immer mehr in grundlegenden Funktionen beschnitten (siehe RDS/VD, da will Microsoft auch alle nach Azure drängen).

        • Hi, ich bin auch in der guter Position, dass alles vorerst lokal bleibt und ist gewollt. Das es günstiger sein Sollte ist nur Trug, weil diese Teil was günstiger sein sollte zahlt man mit eigenen Daten/Informationen. Wenn dann einer Alles über eine Firma weiß, kann diese sehr einfach übernehmen oder vernichten, ganz einfach. Deswegen weiß nicht ob man das günstiger nennen kann. Bei lokalen Installation entscheidest du selber wie gut / schlecht ist mit deiner Sicherheit und IT.
          Beim Cloud = kein Einfluss. Das beste Beispiel ist so ein Apfel Smartphone. Einer Kauf, zahlt hoffen Geld, geht nach hause packt aus und, o Gott er kann das so lange nicht benutzten , so lange sich irgendwo anmeldet ?! Warum wird man dazu gezwungen? Entweder gehört mir das teil oder nicht? Ganz dumme Sache für alle die sich mit Eigentum auseinandergesetzt haben. Einzige Konklusion, das Smartphon obwohl gekauft dennoch gehört nicht dir! Du hast bezahlt und darfs nutzen. Das ist Feudalismus! Das Cloud eben begünstig das noch weiter und treibt uns noch weiter in dieses System. Dabei denken viele dass wir in einer Demokratie leben. Nicht Glauben und Alles hinterfragen! und dann Konsequenzen ziehen. Alles lokal ,was nicht möglich verzichten / umgehen PUNKT.

    • Also ja, der Punkt ist nicht zu verachten, aber nur, weil dein Exchange-Server bei dir zu Hause steht, heißt das ja noch lange nicht, dass dieser auch sicherer wäre.
      Täglich werden x Firmen hochgenommen und dann gehts erst richtig los. Und woran liegts? An unzureichenden Ressourcen, alten Services, ungepatchten Systemen, windigen Bastellösungen (die bestimmt mal getauscht werden, wenn Zeit ist… klar). Ich betreue allerhand Kunden, die aktuell wahnsinnig hinterherhängen oder noch bei irgendwelchen Systemhäusern festhängen und was da teilweise abgeht, möchte ich eigentlich nicht noch mal wiedergeben.

      Microsoft als Anbieter für Exchange Online bietet natürlich unfassbar viel mehr Angriffsfläche, hat aber auch erheblich mehr Personal, sich um Sicherheit und ähnliches zu kümmern.
      Dennoch: Der Umgang mit diesem Fall ist mindestens zweifelhaft. Keine brauchbare Kommunikation, die nachträgliche Offerierung der nötigen Logs, durch die man sich dann per Hand wühlen muss, keine genaue Angabe des Impacts. Ja uff.

      Reply
      • „Microsoft als Anbieter für Exchange Online bietet natürlich unfassbar viel mehr Angriffsfläche, hat aber auch erheblich mehr Personal, sich um Sicherheit und ähnliches zu kümmern.“

        Der war gut! Glaubst Du das ernsthaft? Hey, denen ist ein Master-Schlüssel abhanden gekommen!!

        Reply
        • Dieses Argument werde ich mir in Zukunft jedenfalls nicht mehr sagen lassen. Wie kann es denn nachhaltiger entkräftet werden, als durch diesen Vorfall?

      • „Microsoft als Anbieter für Exchange Online bietet natürlich unfassbar viel mehr Angriffsfläche, hat aber auch erheblich mehr Personal, sich um Sicherheit und ähnliches zu kümmern.“

        Das wird ja immer gebetsmühlenartig wiederholt. Aber wenn ich mir die Downtimes des letzten Jahres und die Sicherheitsvorfälle so ansehe, dann denke ich mir: Das hätte ich auch alleine hingebastelt bekommen.

        Reply
  7. Ich weiß da gar nicht mehr, was man noch machen soll und wie man da mit Vertrauen weiter machen kann. Also ich gehe davon aus, dass wer auch immer den Schlüssel hat alles und bei jedem gelesen hat und wohl auch immer noch kann. Wie soll man das irgendwie eingrenzen? Ich finde die Idee mit der einsamen Insel wirklich gut. Ich habe auf diese IT Sch…. Keinen Bock mehr. Man macht dich tausend Gedanken wie man was schützen kann und der Player Microsoft versagt so auf ganzer Linie. Danke dir für deine Arbeit

    Reply
    • Absolut richtig! Wie schrieb Microsoft bei der Windows 10 Installation: “ Sie können alles uns überlassen!“…Das grundlegende Problem ist, dass nachher immer der kleine/große Anwender in der Verantwortung steht.

      Reply
    • Im Endeffekt ist es doch so. Der IT-Admin ist eigentlich nur noch den ganzen Tag damit beschäftigt irgendwelche Softwarebugs auszubessern und Workarounds anzuwenden. Also eigentlich Dinge, die der Softwareentwickler tun müsste bzw. verhindern müsste. Und ganz vorne mit dabei ist der Quasimonopolist Microsoft. Beginnt mit unsauberen Updates, Windows Installationen die sich auf identischen PCs unterschiedlich verhalten, irgendwelche Zwänge ganz dringend alles in die Cloud zu bekommen und und und.

      Reply
      • Du bringst es auf den Punkt! Ich habe einige Jahre als „Allround“-IT Admin mit Schwerpunkt Microsoft gearbeitet. Die letzten Jahre war meine tägliche Arbeit genau das. Dieses rumgef***e (sorry für den Ausdruck) mit diesem ganzen Microsoft geraffel brachte mich nahe an die Verzweiflung. Ich hatte irgendwann einfach keine Lust mehr mich weiter mit Produkten aus dem Hause Microsoft zu beschäftigen und habe mich daher auch in der IT umorientiert. Seit nun knapp zwei Jahren arbeite ich im Bereich Network Security und bin rundum glücklich.

        Reply

Leave a Comment