Microsoft hat am 14.07.2023 über einen Sicherheitsvorfall berichtet, von dem Exchange Online und Outlook.com Kunden betroffen waren. Laut Microsoft ist es der chinesischen Hackergruppe Storm-0558 gelungen, einen privaten SIgnaturschlüssel für das Erzeugen der Zugriffstokens für Exchange Online und Outlook.com in die Hände zu bekommen. Mit dem privaten Schlüssel war es den Hackern möglich, Zugriffstokens für OWA und Outlook.com zu fälschen und somit auf die Daten zuzugreifen. Die Hacker haben sich damit wohl maßgeblich Zugriff auf die Daten von europäischen Regierungsbehörden verschafft.
Im ersten Moment liest sich dass erst einmal wie eine Standard Sicherheitslücke, welche von schlauen Häckern ausgenutzt wurde um an Daten aus Exchange Online zu kommen, nicht schön, kann aber vorkommen. Allerdings kommen so langsam weitere Details an Tageslicht und die eigentliche Tragweite dieser Sicherheitslücke bzw. dieses Sicherheitsvorfalls offenbaren.
Zunächst einmal haben es Hacker geschafft an einen Signaturschlüssel von Microsoft zu kommen, mit dem es möglich war, gefälschte Zugriffstokens für Exchange Online zu erstellen und somit auf die Daten der Kunden zuzugreifen. Dies ist an sich schon ziemlicher Hammer, denn extrem kritisches Schlüssel müssen besonders geschützt werden und dürfen unter keinen Umständen in falsche Hände geraten. In diesem Fall ist aber genau das passiert. Auf welchen Weg die Hacker den Schlüssel erbeuten konnten, gibt es seitens Microsoft keine Aussage. Hoffentlich konnte Microsoft den Weg nachvollziehen und die ursprüngliche Schwachstelle schließen. Dazu habe ich aber noch keine Informationen gefunden.
Der nächste Hammer ist die Tatsache das Microsoft durch eine US-Behörde auf den Hackerangriff aufmerksam gemacht wurde und nicht selbst bemerkt hat, dass hier wohl ein eigener privater Schlüssel missbräuchlich eingesetzt wird. Die US-Behörde konnte anhand von Logs Unstimmigkeiten beim Zugriff auf die Postfächer feststellen. Diese Logs stehen übrigens nicht jedem zur Verfügung, sondern waren bisher ein zusätzlich zu bezahlender Service. Ohne die Logs konnte man diesen Angriff also gar nicht feststellen. Microsoft hat hier reagiert und bietet in Zukunft allen Kunden Zugriff auf die Logs an. Für mich riecht dies ein bisschen wie das Auslagern der Verantwortung an den Kunden. Ich solle doch als Kunde bitte zukünftig selbst feststellen, wenn der globale SaaS Dienst Exchange Online gehackt wird…
So langsam wird aber die ganze Tragweite zu diesem Vorfall bekannt. Der Signaturschlüssel ermöglichte laut der Sicherheitsfirma WIZ nicht nur den Zugriff auf Exchange Online und Outlook.com Postfächer sondern auch SharePoint Online, Teams und OneDrive. Es kommt aber noch herber, denn möglicherweise war es mit dem Schlüssel auch möglich, Zugriffstokens für an das Azure AD angeschlossene Anwendungen zu erstellen. Wenn man sich mal überlegt was so alles über das Azure AD authentifiziert wird, dann wächst der Wunsch auf eine einsame Insel auswandern zu wollen. Wenn es sich bei dem Signaturschlüssel um eine Art Masterkey für das Azure AD handelte, dann könnte beispielsweise auch der Zugriff auf Exchange on-Prem (via Modern Hybrid Auth), Azure Cloud Ressourcen, andere Cloud Services via Federation und on-Prem Server via Azure Arc möglich gewesen sein. Dies ist allerdings bisher nicht bestätigt worden und ich hoffe dass sich dies auch nicht bewahrheitet. Gut das Azure AD gerade in Entra ID unbenannt wurde, so bleibt der „Schmutz“ an Azure AD hängen und nicht am neuem Namen…
Selbst wenn aber nicht mit diesem einem Schlüssel quasi er Zugriff auf sämtliche Microsoft Cloud Ressourcen möglich war, stellt sich aber die Frage, gibt es solche Schlüssel? Gibt es quasi den einen Master Key für alle Azure Dienste und wenn ja, wie wird denn dieser Key geschützt? Das wäre ja das Golden Ticket der Microsoft Cloud Welt, denn diese Art von Signaturschlüsseln machen alle Mehrfachauthentifizierungs- und Zugriffsrichtlinien wirkungslos. Darüber möchte ich lieber nicht weiter nachdenken…
Zum Glück sind das bisher nur meine haltlosen Theorien, jedoch baut Microsoft gerade mit seiner spärlichen Informationspolitik kein großes Vertrauen auf. Sicherheitslücken aus denen ernste Sicherheitsvorfälle entstehen, kann und wird es immer geben, aber hier sollte Microsoft mit offenen Karten spielen und mit größter Transparenz agieren, denn sonst bekommen solche Vorfälle schnell einen ganz üblen Beigeschmack. Und nein, es hilft hier nicht einen vorher kostenpflichtigen Logdienst für die Kunden kostenlos anzubieten. Ich als Kunde bin schließlich nicht dafür zuständig, die privaten Schlüssel von Microsoft zu überwachen.
