Nach dem Diebstahl eines Signaturschlüssels, der für Angriffe missbraucht worden ist, reisst die Kritik an Microsoft nicht mehr ab. Auf die
harschen Worte der Cybersecurity Agency CISA, einem
offenen Brief eines US-Senators und viel Tadel aus der Security-Community, meldet sich nun der CEO von Tenable zu Wort. Das IT-Sicherheits-Unternehmen hatte den Diebstahl des Keys im Juni entdeckt.
Amit Yoran, der Chef von Tenable, schreibt auf Linkedin von wiederholtem fahrlässigem Handeln, Intransparenz und unverantwortlichem Verhalten seitens Microsoft. Sein Beitrag hat über 2000 Likes erhalten, vornehmlich aus der Community der IT-Sicherheitsforscher. Yoran beschreibt darin eine kritische Lücke, die Microsoft im März mitgeteilt wurde. Nach einem halbbatzigen Fix im Juni, so
Tenable in der Beschreibung, sei man an die Öffentlichkeit gegangen.
Microsoft erklärte gegenüber dem Medium
'ITWire': "Unser erster Fix im Juni hat das Problem für die Mehrheit der Kunden entschärft. Dieses Problem wurde nun für alle Kunden vollständig behoben und es sind keine weiteren Massnahmen erforderlich." Yoran hält im
Linkedin-Beitrag dagegen: "Was Sie von Microsoft hören, ist 'Vertrauen Sie uns einfach', was Sie aber bekommen, ist sehr wenig Transparenz und eine Kultur der Vernebelung." Und er meint damit nicht nur die kritische Lücke vom März.
Seine Aussage gilt auch für den Diebstahl des Signaturschlüssels, der weite Kreise zieht.
Im Mai war mutmasslich von der chinesischen Gruppe "Storm-0558"
ein Kontosignaturschlüssel (MSA) erbeutet worden, wie Microsoft einräumen musste. Er wurde bereits genutzt, um auf E-Mail-Konten von Regierungen und Privatpersonen zuzugreifen.
Aufgrund schlagender Indizien wird aber vermutet, dass er Zugang zu weiteren Cloud-Diensten wie Sharepoint, Onedrive, Office365 oder Teams ermöglicht. Die Dimension zeigt die Security-Firma Wiz in einem
technischen Bericht auf. Der Report wird von Microsoft dementiert, ohne selbst in die Tiefe zu gehen. Es ist ein Fall von: "Vertrauen sie uns einfach."
Als Reaktion auf den Hack und die öffentliche Kritik hatte Microsoft zuvor den Zugang
zu detaillierten Cloud-Logdaten erweitert. Zudem will der Konzern alle gültigen MSA-Signaturschlüssel widerrufen und so den Angriff entschärft haben, wie es in einem Update zu den Aktivitäten von Storm-0558 heisst. Allerdings, so Wiz, könnten die Angreifer Hintertüren in Anwendungen hinterlassen haben, die ihnen eine Rückkehr ermöglichen würden.
Microsoft hat sich bislang nicht offiziell dazu geäussert. Zum Magazin
'The Verge' sagte Jeff Jones, Senior Director beim Konzern, unbestimmt: "Letztendlich ist die Entwicklung eines Sicherheitsupdates eine heikle Balance zwischen Aktualität und Qualität, wobei gleichzeitig ein maximaler Kundenschutz bei minimaler Beeinträchtigung der Kunden gewährleistet wird." Ende Juli hat Microsoft ein
"Playbook für Tokendiebstahl" publiziert, mit dessen Hilfe Kunden ihre Organisation überprüfen können.