Microsoft erklärt den "Schlüssel-Hack"

11. September 2023 um 10:48
  • security
  • Lücke
  • tenable
  • Microsoft
image
Foto: zVg

Chinesische Cyberkriminelle haben Microsoft im Sommer einen digitalen Schlüssel gestohlen und sich so Zugriff auf Cloud-Dienste verschafft. Nun hat sich Microsoft erklärt.

Die chinesische Hackergruppe "Storm-0558" verschaffte sich im Mai Zugriff auf Microsofts Signaturschlüssel. Der Konzern wurde daraufhin von der US-Cybersecurity-Agentur CISA und von privaten Security-Dienstleistern scharf kritisiert. Der Konzern sei wenig transparent und habe eine Kultur der Vernebelung, hiess es etwa vom Anbieter Tenable.
Microsoft machte daraufhin erweiterte Logdateien kostenfrei zugänglich, damit Unternehmen Vorfälle besser untersuchen können. Jetzt hat Microsoft in einem Blogpost die möglichen Gründe für den Angriff erklärt.

Vorfall geht auf 2021 zurück, Logdaten fehlen teilweise

Die Ursache für den Diebstahl des Signaturschlüssels geht demnach auf einen Vorfall im Jahr 2021 zurück. Damals sei ein Signatursystem abgestürzt und zur Fehleranalyse ein "Crash Dump" erstellt worden. Normalerweise würden diese Dumps keine Signaturschlüssel enthalten, in besagtem Fall war dies aber offensichtlich trotzdem so. Das sei von den Systemen damals nicht erkannt worden, so Microsoft.
Die Bande "Storm-0558" habe daraufhin das Unternehmenskonto eines Microsoft-Entwicklers kompromittiert und sich so Zugriff auf die Debugging-Umgebung mitsamt den Dumps verschafft. Zwar würden manche Logs mittlerweile fehlen, dies sei jedoch der "wahrscheinlichste Mechanismus", wie die Angreifer an die Schlüssel kamen.
Weil Microsoft im Jahr 2018 die technische Infrastruktur für die Schlüsselverwaltung für Privat- und Unternehmenskonti zusammenlegte, konnten die Cyberkriminellen mit der gestohlenen Signatur auch auf Firmen-E-Mails zugreifen. Das sei nun nicht mehr möglich, verspricht Microsoft. Ebenso würde nun verhindert, dass digitale Schlüssel in Crash Dumps landen. Warum der offenbar im Jahr 2021 abgelaufene Schlüssel im Sommer 2023 noch funktionierte, ist unklar. Dazu nimmt Microsoft keine Stellung.

Tenable revidiert sein Urteil

Auf Nachfrage von inside-it.ch äussert sich Tenable zur Analyse Microsofts. Dass es trotz aller Anstrengungen möglich war, überhaupt digitale Schlüssel zu entwenden, "wirft einige Fragen zu den Richtlinien bei Microsoft auf", so die Malware-Forschungsabteilung des Security-Dienstleisters.
Dennoch lobt Tenable Microsoft für den Umgang mit dem Angriff. Die Kommunikation des Konzerns sei transparent gewesen, revidiert der Anbieter sein einstiges Urteil. Besonders lobenswert findet Tenable, dass Microsoft den Weg des Angreifers in die eigenen Systeme offenlegt. "Die Sicherheitsbranche würde gerne mehr davon sehen." Es scheint, dass Microsoft geeignete Schritte unternommen habe, um die Mängel zu beheben. "Das bedeutet jedoch nicht, dass ein ähnlicher Angriff in Zukunft nicht möglich sein könnte, da Akteure wie Storm-0558 ständig neue Methoden entwickeln."

Loading

Mehr zum Thema

image

Erneut keine Einigung über Chatkontrolle in der EU

Die Abstimmung wurde im zuständigen Ausschuss ein weiteres Mal verschoben. Ist die Chatkontrolle damit endgültig ein "totes Pferd"?

publiziert am 4.10.2024
image

Die Hololens ist praktisch Geschichte

Microsoft hat die Produktion seiner Augmented-Reality-Brille Hololens 2 eingestellt. Es gibt noch Restposten und Support bis Ende 2027.

publiziert am 3.10.2024
image

Microsoft erlaubt weiterhin Homeoffice

Im Gegensatz zu anderen Konzernen wie Dell und Amazon will Microsoft seine Angestellten nicht komplett ins Büro zurückbeordern.

publiziert am 2.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024