Microsoft erklärt den "Schlüssel-Hack"

11. September 2023 um 10:48
  • security
  • Lücke
  • tenable
  • Microsoft
image
Foto: zVg

Chinesische Cyberkriminelle haben Microsoft im Sommer einen digitalen Schlüssel gestohlen und sich so Zugriff auf Cloud-Dienste verschafft. Nun hat sich Microsoft erklärt.

Die chinesische Hackergruppe "Storm-0558" verschaffte sich im Mai Zugriff auf Microsofts Signaturschlüssel. Der Konzern wurde daraufhin von der US-Cybersecurity-Agentur CISA und von privaten Security-Dienstleistern scharf kritisiert. Der Konzern sei wenig transparent und habe eine Kultur der Vernebelung, hiess es etwa vom Anbieter Tenable.
Microsoft machte daraufhin erweiterte Logdateien kostenfrei zugänglich, damit Unternehmen Vorfälle besser untersuchen können. Jetzt hat Microsoft in einem Blogpost die möglichen Gründe für den Angriff erklärt.

Vorfall geht auf 2021 zurück, Logdaten fehlen teilweise

Die Ursache für den Diebstahl des Signaturschlüssels geht demnach auf einen Vorfall im Jahr 2021 zurück. Damals sei ein Signatursystem abgestürzt und zur Fehleranalyse ein "Crash Dump" erstellt worden. Normalerweise würden diese Dumps keine Signaturschlüssel enthalten, in besagtem Fall war dies aber offensichtlich trotzdem so. Das sei von den Systemen damals nicht erkannt worden, so Microsoft.
Die Bande "Storm-0558" habe daraufhin das Unternehmenskonto eines Microsoft-Entwicklers kompromittiert und sich so Zugriff auf die Debugging-Umgebung mitsamt den Dumps verschafft. Zwar würden manche Logs mittlerweile fehlen, dies sei jedoch der "wahrscheinlichste Mechanismus", wie die Angreifer an die Schlüssel kamen.
Weil Microsoft im Jahr 2018 die technische Infrastruktur für die Schlüsselverwaltung für Privat- und Unternehmenskonti zusammenlegte, konnten die Cyberkriminellen mit der gestohlenen Signatur auch auf Firmen-E-Mails zugreifen. Das sei nun nicht mehr möglich, verspricht Microsoft. Ebenso würde nun verhindert, dass digitale Schlüssel in Crash Dumps landen. Warum der offenbar im Jahr 2021 abgelaufene Schlüssel im Sommer 2023 noch funktionierte, ist unklar. Dazu nimmt Microsoft keine Stellung.

Tenable revidiert sein Urteil

Auf Nachfrage von inside-it.ch äussert sich Tenable zur Analyse Microsofts. Dass es trotz aller Anstrengungen möglich war, überhaupt digitale Schlüssel zu entwenden, "wirft einige Fragen zu den Richtlinien bei Microsoft auf", so die Malware-Forschungsabteilung des Security-Dienstleisters.
Dennoch lobt Tenable Microsoft für den Umgang mit dem Angriff. Die Kommunikation des Konzerns sei transparent gewesen, revidiert der Anbieter sein einstiges Urteil. Besonders lobenswert findet Tenable, dass Microsoft den Weg des Angreifers in die eigenen Systeme offenlegt. "Die Sicherheitsbranche würde gerne mehr davon sehen." Es scheint, dass Microsoft geeignete Schritte unternommen habe, um die Mängel zu beheben. "Das bedeutet jedoch nicht, dass ein ähnlicher Angriff in Zukunft nicht möglich sein könnte, da Akteure wie Storm-0558 ständig neue Methoden entwickeln."

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024