cnt
Entwendeter Microsoft-Key öffnet Tür zu zahlreichen Cloud-Diensten
Quelle: Depositphotos

Entwendeter Microsoft-Key öffnet Tür zu zahlreichen Cloud-Diensten

Ein mutmasslich durch chinesische Angreifer geklauter Microsoft-Key soll deutlich mächtiger sein als bisher angenommen. Er könnte nicht nur Zugriff auf Exchange-Konten, sondern auf verschiedenste Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams gewähren.
26. Juli 2023

     

Microsoft hält sich bezüglich eines kürzlich entwendeten Signaturschlüssels nach wie vor bedeckt und gibt nur nach und nach Informationen an die Öffentlichkeit. Das Security-Unternehmen Wiz will im Rahmen einer Untersuchung hingegen weitere Erkenntnisse in Erfahrung gebracht haben. Demnach sei der "Key deutlich mächtiger als bisher angenommen". Während Outlook.com und Exchange Online laut Microsoft die einzigen vom kürzlich bekanntgegebenen Sicherheitsvorfall betroffenen Dienste seien, der auf die chinesische Gruppe Storm-0558 zurückgehen soll, widerspricht Wiz Research. Nach eigenen Angaben hat das Unternehmen herausgefunden, dass es der kompromittierte MSA-Schlüssel ermöglicht haben könnte, Zugriffstoken für mehrere Arten von Azure-Active-Directory-Anwendungen zu fälschen. Das umfasst alle Anwendungen, die eine persönliche Kontoauthentifizierung unterstützen, schreibt der Anbieter in einem Blog-Beitrag: Das gilt somit für Sharepoint, Teams, Onedrive, Kundenanwendungen, die "Login with Microsoft"-Funktionalität unterstützen, und mandantenfähige Anwendungen unter bestimmten Bedingungen.


Laut Wiz ergibt sich daraus ein gewaltiges Risiko: Denn entsprechende Schlüssel seien die wohl "mächtigsten Geheimnisse der modernen Welt". Sie würden sofortigen Single-Hop-Zugriff auf alles erlauben, auf jedes E-Mail-Postfach, jeden Dateidienst oder jedes Cloud-Konto.
Microsoft hatte den kompromittierten Schlüssel zwar umgehend widerrufen, die betroffenen Anwendungen werden gefälschte Tokens daher nicht mehr akzeptieren. Wiz weisst jedoch darauf hin, dass die böswilligen Akteure vorangegangene Sitzungen hätten nutzen können, um anwendungsspezifische Zugriffschlüssel auszustellen oder Hintertüren einzurichten.

Die Experten von Wiz raten daher, die eigene IT-Landschaft in Hinblick auf den Einsatz gefälschter Tokens zu untersuchen und die durch Microsoft veröffentlichen Indikatoren für Kompromittierung zu nutzen, um nach auffälligen Aktivitäten Ausschau zu halten. Gleichzeitig verweisen die Forscher aber darauf, dass die Ausmasse dieses Vorfalls weitaus grösser seien, als man anfangs angenommen habe. "Wir glauben, dass dieses Ereignis langfristige Auswirkungen auf unser Vertrauen in die Cloud und die Kernkomponenten, die sie unterstützen, haben wird, vor allem auf die Identitätsschicht, die die Grundlage für alles ist, was wir in der Cloud tun. Wir müssen daraus lernen und uns verbessern."


Gegenüber der "Washington Post" widerspricht Microsoft den Erkenntnissen der Security-Forscher jedoch: "Viele der in diesem Blog aufgestellten Behauptungen sind spekulativ und nicht durch Beweise untermauert." Mitte Juli hatte der IT-Konzern in einer Mitteilung hingegen unterstrichen, dass er die Storm-0558-Kampagne erfolgreich blockiert habe und dass der Vorfall nur die Dienste Outlook.com und Exchange Online betreffe.

Für Wiz steht allerdings fest: Auch wenn das gesamte Ausmass kaum abzuschätzen sei, waren Millionen von Microsoft- und Kundenanwendungen potenziell gefährdet. Um Unternehmen vor dem Hintergrund dieses Vorfalls mehr Einblick in mögliche unerwünschte Aktivitäten zu gewähren, hat Microsoft zuletzt angekündigt, über einen eingeschränkten Zeitraum hinweg weitere Log-Daten zur Verfügung zu stellen. Diese Premium-Daten waren bisher im Rahmen von Purview Audit Premium kostenpflichtig.

Bis heute kann Microsoft nicht mit Sicherheit sagen, wie die Angreifer an den Schlüssel gelangt sind. Die Untersuchungen dauern laut dem Unternehmen an. Rund zwei Dutzend Organisationen wurden nach dem Key-Klau Ziel von Angriffen – darunter auch US-Regierungsbehörden. Die Erkenntnisse von Wiz deuten jedoch darauf hin, dass sich das tatsächliche Ausmass erst in den kommenden Wochen und Monaten offenbaren könnte. (sta)


Weitere Artikel zum Thema

Microsoft Juli-Patchday: 130 Sicherheitslücken behoben, eine Zero-Day noch offen

12. Juli 2023 - Mit dem Juli-Patch stopft Microsoft stolze 130 Security-Lecks. Einige wurden bereits aktiv ausgenutzt, für eine Zero-Day-Lücke fehlt nach wie vor eine Lösung.

Microsoft dementiert Datendiebstahl nach DDoS-Angriffen

5. Juli 2023 - Angeblich wurden im Zuge der DDoS-Angriffe auf Microsoft-Services auch 30 Millionen Accounts von einer Hacker-Bande gestohlen. Microsoft gibt sich selbstsicher – das sei alles erlogen.

Microsoft führt Ausfälle auf DDoS-Angriffe zurück

19. Juni 2023 - Die Störungen bei Azure, Outlook, Teams & Co. von Anfang Juni 2023 gingen auf fortgesetzte DDoS-Angriffe auf der Applikationsebene zurück. Die Cyberkriminellen haben dabei drei unterschiedliche Methoden zur Server-Überlastung verwendet.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER