Microsoft hat die Ergebnisse einer technischen Untersuchung veröffentlicht und legt offen, wie die chinesische Hackergruppe Storm-0558 an einen mächtigen Signaturschlüssel gelangen konnte ("Swiss IT Reseller"
berichtete). Diesen nutzte die Gruppe, um auf unzählige Microsoft-Konten zuzugreifen und E-Mails verschiedenster Organisationen zu entwenden, darunter auch US-Behörden. Darüber hinaus soll es möglich gewesen sein, für nahezu alle Cloud-Dienste von
Microsoft Zugangstoken und Benutzerkonten zu erstellen.
In einem
Blog-Beitrag erklärt Microsoft jetzt, dass der Absturz eines Signing-Systems im April 2021 den Zugriff auf den Schlüssel ermöglichte. Während des Absturzes entstand ein Snapshot des Systems, ein Crash Dump. Dieser sollte laut Microsoft eigentlich keine Signaturschlüssel enthalten – was jedoch wohl der Fall war. "Das Vorhandensein des Schlüsselmaterials im Crash Dump wurde von unseren Systemen nicht erkannt", schreibt das Unternehmen. Anschliessend wurde dieser Crash Dump zudem in das mit dem Internet verbundene Unternehmensnetzwerk verschoben. Über das kompromittierte Konto eines Microsoft-Ingenieurs gelangten die Storm-0558-Akteure schliesslich an den Schlüssel. "Aufgrund von Richtlinien zur Aufbewahrung von Protokollen verfügen wir nicht über Protokolle mit spezifischen Beweisen für diese Exfiltration durch diesen Akteur, aber dies war der wahrscheinlichste Mechanismus, über den der Akteur den Schlüssel erworben hat."
Microsoft gibt an, dass die beschriebenen Mechanismen und Schwachstellen behoben sind. In einem eigens dafür erstellen
Blog-Beitrag führt das Unternehmen auf, welche Schlüsse es bisher aus dem Vorfall gezogen und welche Massnahmen es bisher ergriffen hat. Zudem gibt
Microsoft Kunden Handlungsempfehlungen, um die eigene Sicherheit im Nachgang des Azure Breach zu gewährleisten.
(sta)
