Entwendeter Microsoft-Schlüssel ermöglicht Zugriff auf zahlreiche Cloud-Dienste

24. Juli 2023 um 11:50
  • security
  • cyberangriff
  • cloud
  • wiz
  • microsoft
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Laut Sicherheitsforschern könnte der Hack viel weitreichendere Folgen haben, als bisher geglaubt. Microsoft streitet die Befunde ab.

Nach den Angriffen der chinesischen Gruppe "Storm-0558" auf E-Mail-Konten ab Mitte Mai musste Microsoft letzte Woche reagieren. Die US-Cybersecurity Agency CISA hatte den Konzern deutlich kritisiert. Daraufhin erweiterte Microsoft den Zugang zu detaillierten Cloud-Logdaten, damit Sicherheitsvorfälle besser untersucht werden können. Bislang standen diese Daten nur Kunden zur Verfügung, die für Microsoft Purview Audit bezahlten.
Die Hacker hatten einen Kontosignaturschlüssels (MSA) entwendet, um in E-Mail-Konten von Kunden einzudringen. Bisher war bekannt, dass so die Exchange-Online- und Azure-Active-Directory-Konten (ADD) von rund zwei Dutzend Organisationen kompromittiert wurden. Laut Sicherheitsforschern von Wiz ermöglicht der gestohlene Schlüssel aber auch Zugriffe auf zahlreiche weitere Cloud-Dienste von Microsoft.
Die Security-Experten schreiben in einem Blogbeitrag: "Kompromittierter Microsoft-Schlüssel: Wirkungsvoller als wir dachten". Ihre Untersuchungen hätten gezeigt, dass jeder mit dem Signaturschlüssel seinen Zugriff hätte erweitern können. "Dazu gehören verwaltete Microsoft-Anwendungen wie Outlook, Sharepoint, Onedrive und Teams sowie Kundenanwendungen, die die Microsoft-Konto-Authentifizierung unterstützen, einschliesslich solcher, die die Funktion Anmeldung mit Microsoft anbieten."
Als Reaktion auf den Hack hatte Microsoft alle gültigen MSA-Signaturschlüssel widerrufen. Allerdings, so Wiz, hätten die Angreifer möglicherweise Hintertüren in Anwendungen hinterlassen, die ihnen eine Rückkehr ermöglichen würden. Es bestehe auch ein weiteres potenzielles Risiko für Anwendungen, die vor der Zertifikatssperrung durch Microsoft Kopien der AAD-Schlüssel aufbewahrt hätten.
Gegenüber US-Medien widersprach ein Microsoft-Sprecher diesen Erkenntnissen. "Viele der im Blog aufgestellten Behauptungen sind spekulativ und nicht evidenzbasiert." Wiz empfiehlt hingegen: "Alle Organisationen, die Microsoft- und Azure-Dienste nutzen, sollten Massnahmen ergreifen, um mögliche Auswirkungen zu bewerten."

Loading

Mehr zum Thema

image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

Servicenow meldet Sicherheitsproblem

Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.

publiziert am 10.6.2026
image

Anthropic lanciert Claude Fable 5 für alle Nutzer

Parallel dazu startet mit Claude Mythos 5 eine Variante mit erweiterten Cybersecurity-Fähigkeiten, die zunächst nur ausgewählten Organisationen zugänglich ist.

publiziert am 10.6.2026