Der angebliche Diebstahl eines Microsoft-Sicherheitsschlüssels könnte es Spionen, die mit Peking in Verbindung stehen, ermöglicht haben, in mehr als nur Outlook- und Exchange Online-E-Mail-Konten einzudringen.

In einer schockierenden Enthüllung, die mehr Aufmerksamkeit verdient, wurde ein interner privater kryptografischer Schlüssel von Microsoft – der verwendet wird, um Zugangstoken für seine Online-Dienste digital zu signieren – irgendwie von jemandem beschafft. Die Spione stellten mit diesem Schlüssel Token her, die ihnen Zugang zu den E-Mail-Systemen von Microsoft-Kunden gewährten. Dadurch wurde der Anschein erweckt, dass Microsoft die Token rechtmäßig ausgegeben hatte.

Mit diesen wertvollen Token verschafften sich die mutmaßlichen Eindringlinge aus China Zugang zu den Microsoft-Cloud-E-Mail-Konten von US-Regierungsbeamten, darunter auch US-Handelsministerin Gina Raimondo. Eine Bundesbehörde entdeckte den Cyberangriff und schlug Alarm.

Wie dieser starke private Signierschlüssel erworben wurde, bleibt für Microsoft ein Rätsel. Soweit wir wissen, müssen sie es noch herausfinden, oder zumindest müssen sie es noch bekannt machen. Microsoft hat diesen speziellen Schlüssel widerrufen. Die Spione tragen den Codenamen “ Storm-0558″. 

Der private Schlüssel hätte nicht nur Zugang zu den Outlook- und Exchange-Online-Konten der Betroffenen gewähren können, wie uns gesagt wurde. Microsoft bestreitet jedoch diese Behauptung.

Lesen Sie auch: “Die KI-Leistung von ChatGPT: Jenseits des Turing-Tests oder noch nicht ganz da?”

Darüber hinaus gilt sie für kundeneigene Anwendungen, die die Funktion “Anmeldung bei Microsoft” unterstützen, sowie für mandantenfähige Anwendungen, die so eingerichtet sind, dass sie den “gemeinsamen” v2.0-Schlüsselendpunkt und nicht den “Organisations”-Endpunkt verwenden. Anwendungen, die OpenID v1.0 verwenden, bleiben sicher.

Microsoft hat zwar den kompromittierten Verschlüsselungsschlüssel für ungültig erklärt und eine Liste mit Indikatoren für eine Kompromittierung veröffentlicht, damit diejenigen, die sich fragen, ob Storm-0558 auch auf sie abzielt, erkennen können, ob die Gauner gefälschte Token verwendet haben, um Daten aus ihren Anwendungen zu extrahieren. Tamari führt dies auf den Bedarf an mehr Protokollen in Verbindung mit der Token-Verifizierung zurück.

Auf Druck der US-Regierung erklärte sich Redmond bereit, allen Kunden freien Zugang zu Cloud-Sicherheitsprotokollen zu gewähren – ein Service, der normalerweise Premium-Kunden vorbehalten ist – allerdings erst ab September.

Microsoft meldete den Angriff am 11. Juli. Der Azure-Riese erklärte damals und in einem Update vom 14. Juli, dass die Spione gefälschte Authentifizierungs-Tokens verwendet haben, um zu Spionagezwecken in E-Mail-Konten von Regierungsbehörden einzudringen.

Das Wall Street Journal berichtete am Donnerstag, dass chinesische Spione auch Zugang zu den Postfächern des US-Botschafters in China, Nicholas Burns, und des stellvertretenden Staatssekretärs für Ostasien, Daniel Kritenbrink, hatten.

Wie die Spione an den privaten Verschlüsselungsschlüssel gekommen sind, bleibt zunächst ein Rätsel. Nach Angaben des Wiz-Sicherheitsteams scheint die in China ansässige Gruppe einen von mehreren Schlüsseln gesichert zu haben, die für die Verifizierung von Azure Active Directory (AAD)-Zugangstoken verwendet werden. Damit können sie jedes OpenID v2.0-Zugangstoken für persönliche Konten und AAD-Anwendungen mit mehreren Mandanten und persönlichen Konten als Microsoft signieren.

Zwar hat Microsoft den kompromittierten Schlüssel außer Betrieb genommen, so dass er nicht mehr zur Herstellung von Token und zum Zugriff auf AAD-Anwendungen verwendet werden kann, doch besteht die Möglichkeit, dass Angreifer während früherer Sitzungen diesen Zugriff zur Installation von Hintertüren oder zur Herstellung von Persistenz genutzt haben.

“Ein prominentes Beispiel dafür ist, wie Storm-0558 vor dem Eingreifen von Microsoft gültige Exchange Online-Zugangstoken ausstellte, indem er Zugangstoken für Outlook Web Access (OWA) fälschte”, schrieb Tamari.