Die chinesische Hackergruppe "Storm-0558" verschaffte sich im Mai Zugriff auf Microsofts Signaturschlüssel. Der Konzern wurde daraufhin von der US-Cybersecurity-Agentur CISA und von privaten Security-Dienstleistern scharf kritisiert. Der Konzern sei wenig transparent und habe eine Kultur der Vernebelung, hiess es etwa vom Anbieter Tenable.

Microsoft machte daraufhin erweiterte Logdateien kostenfrei zugänglich, damit Unternehmen Vorfälle besser untersuchen können. Jetzt hat Microsoft in einem Blogpost die möglichen Gründe für den Angriff erklärt.

Die Ursache für den Diebstahl des Signaturschlüssels geht demnach auf einen Vorfall im Jahr 2021 zurück. Damals sei ein Signatursystem abgestürzt und zur Fehleranalyse ein "Crash Dump" erstellt worden. Normalerweise würden diese Dumps keine Signaturschlüssel enthalten, in besagtem Fall war dies aber offensichtlich trotzdem so. Das sei von den Systemen damals nicht erkannt worden, so Microsoft.

Die Bande "Storm-0558" habe daraufhin das Unternehmenskonto eines Microsoft-Entwicklers kompromittiert und sich so Zugriff auf die Debugging-Umgebung mitsamt den Dumps verschafft. Zwar würden manche Logs mittlerweile fehlen, dies sei jedoch der "wahrscheinlichste Mechanismus", wie die Angreifer an die Schlüssel kamen.

Weil Microsoft im Jahr 2018 die technische Infrastruktur für die Schlüsselverwaltung für Privat- und Unternehmenskonti zusammenlegte, konnten die Cyberkriminellen mit der gestohlenen Signatur auch auf Firmen-E-Mails zugreifen. Das sei nun nicht mehr möglich, verspricht Microsoft. Ebenso würde nun verhindert, dass digitale Schlüssel in Crash Dumps landen. Warum der offenbar im Jahr 2021 abgelaufene Schlüssel im Sommer 2023 noch funktionierte, ist unklar. Dazu nimmt Microsoft keine Stellung.

Auf Nachfrage von inside-it.ch äussert sich Tenable zur Analyse Microsofts. Dass es trotz aller Anstrengungen möglich war, überhaupt digitale Schlüssel zu entwenden, "wirft einige Fragen zu den Richtlinien bei Microsoft auf", so die Malware-Forschungsabteilung des Security-Dienstleisters.

Dennoch lobt Tenable Microsoft für den Umgang mit dem Angriff. Die Kommunikation des Konzerns sei transparent gewesen, revidiert der Anbieter sein einstiges Urteil. Besonders lobenswert findet Tenable, dass Microsoft den Weg des Angreifers in die eigenen Systeme offenlegt. "Die Sicherheitsbranche würde gerne mehr davon sehen." Es scheint, dass Microsoft geeignete Schritte unternommen habe, um die Mängel zu beheben. "Das bedeutet jedoch nicht, dass ein ähnlicher Angriff in Zukunft nicht möglich sein könnte, da Akteure wie Storm-0558 ständig neue Methoden entwickeln."