Nach den Angriffen der chinesischen Gruppe "Storm-0558" auf E-Mail-Konten ab Mitte Mai musste Microsoft letzte Woche reagieren. Die US-Cybersecurity Agency CISA hatte den Konzern deutlich kritisiert. Daraufhin erweiterte Microsoft den Zugang zu detaillierten Cloud-Logdaten, damit Sicherheitsvorfälle besser untersucht werden können. Bislang standen diese Daten nur Kunden zur Verfügung, die für Microsoft Purview Audit bezahlten.

Die Hacker hatten einen Kontosignaturschlüssels (MSA) entwendet, um in E-Mail-Konten von Kunden einzudringen. Bisher war bekannt, dass so die Exchange-Online- und Azure-Active-Directory-Konten (ADD) von rund zwei Dutzend Organisationen kompromittiert wurden. Laut Sicherheitsforschern von Wiz ermöglicht der gestohlene Schlüssel aber auch Zugriffe auf zahlreiche weitere Cloud-Dienste von Microsoft.

Die Security-Experten schreiben in einem Blogbeitrag: "Kompromittierter Microsoft-Schlüssel: Wirkungsvoller als wir dachten". Ihre Untersuchungen hätten gezeigt, dass jeder mit dem Signaturschlüssel seinen Zugriff hätte erweitern können. "Dazu gehören verwaltete Microsoft-Anwendungen wie Outlook, Sharepoint, Onedrive und Teams sowie Kundenanwendungen, die die Microsoft-Konto-Authentifizierung unterstützen, einschliesslich solcher, die die Funktion Anmeldung mit Microsoft anbieten."

Als Reaktion auf den Hack hatte Microsoft alle gültigen MSA-Signaturschlüssel widerrufen. Allerdings, so Wiz, hätten die Angreifer möglicherweise Hintertüren in Anwendungen hinterlassen, die ihnen eine Rückkehr ermöglichen würden. Es bestehe auch ein weiteres potenzielles Risiko für Anwendungen, die vor der Zertifikatssperrung durch Microsoft Kopien der AAD-Schlüssel aufbewahrt hätten.

Gegenüber US-Medien widersprach ein Microsoft-Sprecher diesen Erkenntnissen. "Viele der im Blog aufgestellten Behauptungen sind spekulativ und nicht evidenzbasiert." Wiz empfiehlt hingegen: "Alle Organisationen, die Microsoft- und Azure-Dienste nutzen, sollten Massnahmen ergreifen, um mögliche Auswirkungen zu bewerten."