Knowledge Base

Bitte , um Beiträge und Themen zu erstellen.

Microsofts Storm-0588 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs

Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs

Der Hack von Microsofts Azure-Cloud durch die mutmaßlich chinesische Gruppe Storm-0588 von Mai bis Juni 2023 war durch einen gestohlenen privaten MSA-Schlüssel und Bugs möglich. Damals waren Konten bei Exchange Online und Outlook.com von 25 Organisationen gehackt worden. Unklar war, woher die Angreifer in den Besitz eines privaten MSA-Schlüssel gelangen konnten. Jetzt hat Microsoft bekannt gegeben, dass der MSA-Schlüssel aus einem sogenannten Windows Crash Dump stammte, der auf einem PC von Microsoft erzeugt und dann über ein kompromittiertes System abgezogen wurde.

 

Rückblick: Storm-0588 Cloud-Hack

Im Juli 2023 wurde bekannt, dass es einer von Microsoft Storm-0588 genannten chinesischen Hackergruppe gelungen war, Zugang zu den in der Microsoft Cloud (Exchange Online, outlook.com) gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.

Die Angreifer waren im Besitz eines privaten (MSA)-Kundenschlüssels für Microsoft-Konten, und konnten diesen MSA-Key benutzen, um gefakte Sicherheitstoken (für OWA) zu generieren. Diese Sicherheitstokens ließen sich auf Grund eines Verifizierungsbugs sowohl für Zugriffe auf private Microsoft-Konten (z.B. outlook.com) als auch für Zugriffe auf Azure AD-Konten und wohl auch Azure-Apps missbrauchen.

Microsoft hatte das offiziell eingestanden, spielte aber den Vorfall herunter – ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt erstmals darüber berichtet. Das Ganze entwickelte sich dann zu einem veritablen Sicherheits-GAU, denn die Angreifer tummelten sich beispielsweise seit Mai 2023 unerkannt in den Systemen. Erst als ein Kunde ungewöhnliche Aktivitäten bemerkte, flog der Hack auf. Sicherheitsforscher von Wiz gaben an, dass eigentlich die gesamte Microsoft Cloud-Infrastruktur als potentiell kompromittiert angesehen werden müsste. Die gesamte Entwicklung ist in zahlreichen Blog-Beiträgen nachgezeichnet worden, die am Artikelende verlinkt sind. Unklar war aber, wie die die Angreifer an den privaten MSA-Kundenschlüssel gelangen konnten.

Microsoft nennt die Umstände des Schlüssel-Diebstahls

Nach vielen Wochen der Analyse glaubt Microsoft nun zu wissen, wie die chinesische Hackergruppe Storm-0588 an den privaten MSA-Kundenschlüssel gelangen konnte. Redmond hat das Ganze am 6. September 2023  im Beitrag Results of Major Technical Investigations for Storm-0558 Key Acquisition offen gelegt.

  • Es heißt zwar, dass Microsoft eine stark isolierte und eingeschränkte Produktionsumgebung unterhält, wo der Zugang auch kontrolliert wird. Dort wird die Verwendung von  E-Mail, Konferenzen, Web-Recherche und anderen Tools blockiert.
  • Aber außerhalb der eingeschränkten Produktionsumgebung werden natürlich PCs eingesetzt, auf denen  E-Mail, Konferenzen, Web-Recherchen und andere Kollaborations-Tools zulässig und im Einsatz sind. Diese System sind dann auch anfällig für Angriffe (per Spear-Pishing etc.).

Und dann hat sogzusagen Mc Murphy zugeschlagen, d.h. wenn etwas schief geht, dann auch richtig. Microsofts Untersuchung führt zum Ergebnis, dass es im April 2021 zu einem Absturz des  Signiersystems für Verbraucher  kam. Dabei wurde ein Schnappschuss des abgestürzten Prozesses ("Crash Dump") erzeugt. Normalerweise sollten solche Crash-Dumps keine sensiblen Informationen enthalten bzw. diese sollten unkenntlich gemacht werden. Im Klartext: In diesem Crash Dump hätte niemals ein MSA-Signaturschlüssel enthalten sein dürfen.

Im aktuellen Fall trat jedoch einen sogenannte Race-Condition auf, so dass der private MSA-Kundenschlüssel im Crash-Dump enthalten war (dieses Problem wurde laut Microsoft inzwischen behoben). Der private MSA-Kundenschlüssel im Crash Dump wurde von Microsofts Sicherheitssystemen nicht erkannt (dieses Problem wurde ebenfalls behoben). An dieser Stelle werden also weitere "Bugs" eingestanden, die erst nach dem  Vorfall beseitigt wurden.

Weil kein Kontrollsystem anschlug, wurde der Crash-Dump dann aus dem isolierten Produktionsnetzwerk in die Debugging-Umgebung bei Microsoft verschoben. Dort sind die Rechner aber über das Unternehmensnetzwerk mit dem Internet verbunden. Als der private Schlüssel nach dem April 2023 in der Unternehmensumgebung auf einem System lagerte, konnten die chinesischen Hacker der Storm-0558-Gruppe  das Unternehmenskonto eines Microsoft-Ingenieurs kompromittieren. Dieses Konto hatte Zugriff auf die Debugging-Umgebung mit dem Crash Dump, in dem der private MSA-Kundenschlüssel ungewollt enthalten war.

Microsoft besitzt zwar (aus regulatorischen Gründen, die die Richtlinien zur Aufbewahrung von Protokollen umfassen) keine Protokolle mit spezifischen Beweisen für die Exfiltration durch diesen Akteur. Redmond geht aber davon aus, dass dies der wahrscheinlichste Mechanismus war, über den der Akteur den Schlüssel erworben hat.

Verdammt viele Zufälle, oder Insider-Job und Schlamperei?

Lassen wir doch mal die Erklärungen Microsofts etwas wirken. An dieser Stelle hat Microsoft zwar eine Vermutung geäußert, wie es wahrscheinlich gewesen sein könnte. Das lässt sich zwar nicht von der Hand weisen, aber ein harter Beweis fehlt. Was mich jetzt als außenstehenden Beobachter stutzig macht, ist diese Kette von unglaublichen Zufällen.

  • Die chinesischen Angreifer konnten genau das Unternehmenskonto eines Microsoft-Ingenieurs kompromittieren, der zufällig Zugriff auf die Debug-Umgebung hatte.
  • Und dann war auch noch der unwahrscheinliche Fall gegeben, dass dort zufälligerweise ein Crash-Dump des Vorfalls aus der Produktivumgebung lagerte.
  • Und zufälligerweise enthielt dieser Crash-Dump auch noch diesen MSA-Schlüssel, der dort eigentlich nicht enthalten sein sollte, aber auf Grund einer Race-Condition doch vorlag.

Müßig zu erwähnen, dass die chinesischen Angreifer auch noch wussten, wo sie welche Dateien finden können, den Dump abziehen konnten, dann analysierten und in der wüsten Folge von Hex-zahlen den privaten MSA-Schlüssel isolieren konnten. Wenn man den Kommissar Kienzle im Tatort befragt, käme sofort die Antwort "So viele Zufälle gibt es nicht".

Und es gibt noch ein feines Detail, welches ich im Beitrag Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1 offen gelegt hatte. Der bei obigem Hack verwendet MSA-Schlüssel wurde von Microsoft im Jahr 2016 erstellt und ist im Jahr 2021 abgelaufen. Es ist unglaublich und unerklärlich, dass dieser abgelaufene MSA-Key zur Generierung von Sicherheitstokens verwendet werden konnte. Und es ist auch nicht erklärbar, dass Microsoft über einen einzigen "Generalschlüssel" verfügt, mit dem Tokens für Zugriffe auf die Azure-Cloud und deren Dienste erzeugt werden können. Hier möge jeder Leser und jede Leserin eigene Schlüsse ziehen.

Warum der MSA-Schlüssel verwendbar war

Microsoft hat sich im oben verlinkten Artikel auch dazu geäußert, warum es überhaupt möglich war, mit einem privaten MSA-Konsumentenschlüssel Sicherheitstokens für Unternehmenskonten in Exchange Online und OWA zu erzeugen. Im September 2018 hat Microsoft einen gemeinsamen Endpunkt zur Veröffentlichung von Schlüsselmetadaten eingeführt. Das war das Ergebnis einer wachsenden Kundennachfrage nach Unterstützung von Anwendungen, die sowohl mit Verbraucher- als auch mit Unternehmensanwendungen arbeiten. Auch hier schlug Genosse Zufall zu:

  • Microsoft stellte seinerzeit, als Teil einer bereits bestehenden Bibliothek mit Dokumentation und Hilfs-APIs, eine API zur Verfügung, um die Signaturen kryptografisch zu validieren.
  • Allerdings wurden die Bibliotheken, die die Validierung des Anwendungsbereichs automatisch durchzuführen sollten, nicht aktualisiert – dieses Problem ist behoben.
  • Die Mailsysteme, um den gemeinsamen Metadaten-Endpunkt im Jahr 2022 zu verwenden, wurden zwar aktualisiert. Die Entwickler im Mailsystem gingen fälschlicherweise davon aus, dass die Bibliotheken eine vollständige Validierung durchführen, und fügten die erforderliche Validierung des Ausstellers und des Geltungsbereichs nicht hinzu.

In Konsequenz akzeptierte das Mailsystem eine Anfrage für Unternehmens-E-Mails mit einem Sicherheits-Token, das mit dem Verbraucherschlüssel signiert war (dieses Problem wurde mit den aktualisierten Bibliotheken inzwischen ebenfalls behoben). Auch hier kristallisiert sich heraus, dass eine Kette von Versäumnissen dazu führte, dass der Verlust eines privaten MSA-Kundenschlüssels zu diesen Auswirkungen führte.

Abschließende 2 Cents

Die jetzt von Microsoft veröffentlichten Informationen sind zwar lobenswert. Aber auch hier möge jeder Leser und jede Leserin eigene Schlüsse ziehen, wie es um die Zuverlässigkeit Microsofts bestellt sein muss. Persönlich vergesse ich immer, dass es sich bei Microsoft um ein Großunternehmen mit sehr vielen Angestellten handelt – und in Großunternehmen geht schief, was schief gehen kann.

Der Nimbus, dass Microsoft eine Firma mit geballter Kompetenz ist, die wissen, was sie tun, ist mit diesem Vorfall und den öffentlich gewordenen Informationen auf jeden Fall pulverisiert worden. Und wenn ich dann sehe, wie Microsoft seine Kunden gängelt, wird es Zeit, das Unternehmen an die Kandare zu nehmen, in verschiedene Teile zu zerschlagen und harten Regularien zu unterziehen. Andernfalls wird Microsoft die gesamte IT-Welt mit den angebotenen Produkten in den Abgrund ziehen.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0588: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0588 Cloud-Hack und Microsofts Schweigen

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0588 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0588 – Teil 2