Vorfall geht auf 2021 zurück, Logdaten fehlen teilweise
Die Ursache für den Diebstahl des Signaturschlüssels geht demnach auf einen Vorfall im Jahr 2021 zurück. Damals sei ein Signatursystem abgestürzt und zur Fehleranalyse ein "Crash Dump" erstellt worden. Normalerweise würden diese Dumps keine Signaturschlüssel enthalten, in besagtem Fall war dies aber offensichtlich trotzdem so. Das sei von den Systemen damals nicht erkannt worden, so Microsoft.
Die Bande "Storm-0558" habe daraufhin das Unternehmenskonto eines Microsoft-Entwicklers kompromittiert und sich so Zugriff auf die Debugging-Umgebung mitsamt den Dumps verschafft. Zwar würden manche Logs mittlerweile fehlen, dies sei jedoch der "wahrscheinlichste Mechanismus", wie die Angreifer an die Schlüssel kamen.
Weil Microsoft im Jahr 2018 die technische Infrastruktur für die Schlüsselverwaltung für Privat- und Unternehmenskonti zusammenlegte, konnten die Cyberkriminellen mit der gestohlenen Signatur auch auf Firmen-E-Mails zugreifen. Das sei nun nicht mehr möglich, verspricht Microsoft. Ebenso würde nun verhindert, dass digitale Schlüssel in Crash Dumps landen. Warum der offenbar im Jahr 2021 abgelaufene Schlüssel im Sommer 2023 noch funktionierte, ist unklar. Dazu nimmt Microsoft keine Stellung.
Tenable revidiert sein Urteil
Auf Nachfrage von inside-it.ch äussert sich Tenable zur Analyse Microsofts. Dass es trotz aller Anstrengungen möglich war, überhaupt digitale Schlüssel zu entwenden, "wirft einige Fragen zu den Richtlinien bei Microsoft auf", so die Malware-Forschungsabteilung des Security-Dienstleisters.
Dennoch lobt Tenable Microsoft für den Umgang mit dem Angriff. Die Kommunikation des Konzerns sei transparent gewesen, revidiert der Anbieter sein einstiges Urteil. Besonders lobenswert findet Tenable, dass Microsoft den Weg des Angreifers in die eigenen Systeme offenlegt. "Die Sicherheitsbranche würde gerne mehr davon sehen." Es scheint, dass Microsoft geeignete Schritte unternommen habe, um die Mängel zu beheben. "Das bedeutet jedoch nicht, dass ein ähnlicher Angriff in Zukunft nicht möglich sein könnte, da Akteure wie Storm-0558 ständig neue Methoden entwickeln."