Im Juni dieses Jahres gelang es einer anscheinend chinesischen Hackergruppe, einen Signaturschlüssel von Microsoft Azure zu entwenden. Diese von Microsoft als Storm-0558 bezeichnete Gruppe nutzte diesen, um Zugriff auf die E-Mailkonten von Regierungsbehörden zu bekommen, indem sie sogenannte Zugangstoken (Signierschlüssel) erstellte. Damit gelang ihnen der Zugriff auf Online-Exchange-Konten und Outlook.com.
Dieser globale Sicherheitsvorfall wurde jedoch nicht von Microsoft selbst bemerkt – eine zivile US-Bundesbehörde fielen Ungereimtheiten in den Log-Daten (Zugriffsprotokollen) auf. Diese konnte die Behörde einsehen, da sie für Microsoft Purview bezahlte – eine Premiumleistung von Microsoft, die Einsicht in genannte Log-Protokolle gibt. An Microsoft wurde deswegen vielseitig Kritik geübt.
Microsoft kündigte nun an, dass diese ab September für alle Nutzer kostenlos zur Verfügung gestellt werden sollen – man munkelt, dass dies nicht ganz freiwillig und auf Druck einer US-Behörde geschehen sein soll.
Seit dem 03.07.23 nun seien alle unberechtigten Zugriffe gesperrt worden.
Sicherheitsforscher von Wiz gaben vor kurzem bekannt, dass die Sicherheitslücke weitaus größer sein könnte, als bisher vermutet. Neben den Zugriffen auf Outlook.com und Exchange-Konten könnten mit dem MSA Key viele andere Azure Applikationen betroffen sein, darunter Teams, Outlook, Office und Sharepoint. Wäre dies korrekt, ist die Tragweite kaum abzuschätzen.
Microsoft bestreitet die Aussagen von Wiz und tut diese als reine Spekulation ab.
Des Weiteren ist es nicht unmöglich, dass die Hacker Hintertüren im System eingebaut haben, die ihnen trotz Ausschluss von Microsoft nachträglich Zugang ermöglichen.
Die CISA hat hier in Zusammenarbeit mit dem FBI ein Dokument veröffentlicht, welches genauer auf die Hintergründe eingeht. Sie finden das Dokument hier.
Wer ist betroffen?
Laut Microsoft sind weltweit ca. 25 Unternehmen oder Behörden betroffen. Diese wurden durch Microsoft bereits informiert.
Es kann an dieser Stelle also davon ausgegangen werden, dass man nicht betroffen ist. Dennoch besteht die Möglichkeit. Microsoft hat sich in der Kommunikation des Vorfalls sehr zurückhaltend gezeigt, sodass diese Information mit Vorsicht behandelt werden sollte.
Was sind die Auswirkungen?
Wir gehen aktuell davon aus, dass die Aussagen von Microsoft korrekt sind. Sollten Sie also keine E-Mail von Microsoft erhalten, sind Sie nicht betroffen.
Doch wenn Sie betroffen wären, was wären mögliche Folgen?
Hier können wir leider keine positiven Nachrichten vermelden. Mitthilfe des Schlüssels, wäre es möglich, Schadcode nachzuladen und auszuführen. Weiterhin wäre ein vollständiger Zugriff auf alle in Microsoft 365 liegenden Daten möglich (z.B. E-Mails bei Exchange Online, Daten bei OneDrive, etc.). Ebenfalls wäre es möglich, sich selbst längerfristigen Zugang zu verschaffen, vorhandene E-Mails zu bearbeiten (z.B. Rechnungsdaten wie die IBAN zu verändern), zu löschen oder zu verschlüsseln. Ebenfalls könnte man E-Mails in Ihrem Namen versenden.
Was kann man tun?
Aktuell hat man keine große Handhabe, da Microsoft nur eingeschränkt Zugriff auf Logging-Daten ermöglicht. Hier soll es jedoch ab September eine Änderung geben, womit der Zugang zu den Logs verbessert werden soll.
Warum erzählen wir Ihnen das, wenn man sowieso nichts tun kann?
Als der IT-Dienstleister Ihres Vertrauens ist es uns wichtig, Sie über relevante Themen in der IT-Welt zu informieren. Dazu gehören auch Themen, für die es zum aktuellen Zeitpunkt keine Lösung gibt.