Das Sicherheitsunternehmen Wiz hat den von mutmaßlich chinesischen Angreifern gestohlenen Microsoft-Schlüssel identifiziert, der zum Ausspionieren von Regierungsbehörden-Mails verwendet wurde. Laut Wiz hätten die Angreifer damit Zugriff auf fast alle Microsoft-Cloud-Anwendungen wie SharePoint oder Teams erlangen können. Selbst Kunden-Apps in der Cloud mit „Login with Microsoft“ könnten betroffen sein.
Im Juni wurde Microsoft von einer US-Behörde auf ungewöhnliche Aktivitäten in ihren Online-Exchange-Konten aufmerksam gemacht. Die Angreifer, von Microsoft als Storm-0558 bezeichnet, hatten sich Zugang zu Exchange Online, hauptsächlich von europäischen Regierungsbehörden, verschafft. Sie hatten einen Signaturschlüssel von Microsoft gestohlen, mit dem sie sich selbst Zugangstoken ausstellen und Mails und Anhänge herunterladen konnten. Wie dieser Diebstahl gelingen konnte, kann oder will Microsoft nicht erklären.
Die Analyse von Wiz zeigt, dass der gestohlene Schlüssel nicht nur für Exchange Online, sondern fast überall in Microsofts Cloud verwendet werden konnte. Es handelt sich um einen OpenID Signing Key für das Azure Active Directory (Azure AD). Mit diesem Schlüssel könnten Zugangstoken für die Benutzerkonten fast aller Microsoft-Cloud-Dienste erstellt werden.
Microsoft hat den kompromittierten Schlüssel jetzt gesperrt, aber es wäre möglich gewesen, die Zugänge vorher zu nutzen, um die betroffenen Konten mit Hintertüren zu versehen. Jetzt müsste jedes einzelne Azure AD- und Microsoft-Konto auf nicht autorisierte Aktivitäten überprüft werden.
Bisher gibt es keine Beweise, dass Storm-0558 dieses Sicherheitsloch tatsächlich über das von Microsoft zugegebene Maß hinaus genutzt hat. Microsoft hat nach dem Bekanntwerden dieses Sicherheitsfiaskos eingelenkt und will zukünftig den Zugang zu diesen Log-Daten ohne Zusatzkosten freigeben.
Microsoft gibt nur unter Druck Informationen preis und liefert keine Fakten, die die Aussagen bestätigen oder widerlegen könnten. Es liegt nun an den Kunden, von Microsoft mehr Transparenz, Offenlegung aller Informationen rund um diesen Vorfall und konkrete Hilfe bei der Überprüfung auf mögliche unautorisierte Zugriffe zu fordern. Wenn Microsoft nicht liefert, ist es an der Zeit, andere Optionen zu diskutieren.
Sie dürfen das Schreiben unten Nutzen um Hilfe beim Microsoft Support anzufragen.
Betreff: Dringende Anforderung zur Klärung potenzieller Sicherheitsverletzungen durch "Storm-0558"
Sehr geehrte Damen und Herren,
wir beziehen uns auf den jüngsten Vorfall, bei dem die mutmaßlich chinesische Angreifergruppe "Storm-0558" einen Microsoft Signing Key entwendet hat, um Zugang zu E-Mails im Exchange Online mehrerer Regierungsbehörden zu erlangen. Als Nutzer von Exchange Online, SharePoint und Microsoft Teams sind wir zutiefst besorgt über die potenziellen Auswirkungen auf unsere eigenen Microsoft-Cloud-Dienste.
Wir fordern dringend eine klare und umfassende Stellungnahme zu folgenden Punkten:
1. Könnte "Storm-0558" prinzipiell mit dem gestohlenen Key auf unsere Microsoft-Cloud-Dienste zugreifen? Wenn ja, mit welchen Zugriffsrechten und Konsequenzen? Wir benötigen eine technisch fundierte Begründung, ob dies möglich war oder kategorisch ausgeschlossen werden kann.
2. Wie können wir selbst überprüfen, ob ein solcher Zugriffsversuch stattgefunden hat und ob er erfolgreich war? Hat Microsoft dies explizit überprüft? Wenn ja, bitten wir um eine detaillierte Darstellung der Methodik und der Ergebnisse.
3. Welche Maßnahmen können wir ergreifen, um sicherzustellen, dass solche nicht autorisierten Zugriffe in der Zukunft nicht mehr vorkommen oder zumindest bemerkt werden? Wie wird Microsoft uns dabei unterstützen?
Unsere Anforderungen basieren auf den folgenden Veröffentlichungen, die ernsthafte Fragen aufwerfen, die bisher nicht ausreichend beantwortet wurden:
1. [Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email](https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/)
2. [Mitigation China-based threat actor](https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/)
3. [Analysis of Storm-0558 techniques for unauthorized email access](https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/)
4. [Microsoft reagiert auf Online-Exchange-Fiasko: Mehr Logs für alle](https://www.heise.de/news/Microsoft-reagiert-auf-Online-Exchange-Fiasko-Mehr-Logs-fuer-alle-9222889.html)
5. [Neue Erkenntnisse: Microsofts Cloud-Lücken viel größer als angenommen](https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html)
Wir erwarten eine umgehende und umfassende Antwort auf unsere Anfragen. Die Sicherheit unserer Daten und Systeme ist von höchster Priorität und wir vertrauen darauf, dass Microsoft die notwendigen Schritte unternimmt, um diese zu gewährleisten.
Mit freundlichen Grüßen,
[Ihr Name]
[Ihre Position]
[Ihr Unternehmen]