Eine Reihe unglücklicher und eine Reihe von Fehlern ermöglichten es einer von China unterstützten Hackergruppe, einen der Schlüssel zum E-Mail-Königreich von Microsoft zu stehlen, der nahezu uneingeschränkten Zugriff auf die Posteingänge der Regierung gewährte. Microsoft erklärte diese Woche in einem lang erwarteten Blogbeitrag, wie die Hacker den Raubüberfall durchführten. Doch während ein Rätsel gelöst wurde, bleiben mehrere wichtige Details unbekannt.
Um es noch einmal zusammenzufassen: Microsoft gab im Juli bekannt, dass Hacker namens Storm-0558, die seiner Meinung nach von China unterstützt werden, einen E-Mail-Signaturschlüssel „erworben“ haben, den Microsoft zum Sichern von Verbraucher-E-Mail-Konten wie Outlook.com verwendet. Die Hacker nutzten diesen digitalen Skelettschlüssel, um in die bei Microsoft gehosteten privaten und geschäftlichen E-Mail-Konten von Regierungsbeamten einzudringen. Der Hack wird als gezielte Spionagekampagne angesehen, die darauf abzielt, die nicht klassifizierten E-Mails von US-Regierungsbeamten und Diplomaten auszuspionieren, darunter angeblich auch US-Handelsministerin Gina Raimondo und US-Botschafter in China Nicholas Burns.
Wie die Hacker an diesen E-Mail-Signaturschlüssel für Verbraucher gelangten, war selbst für Microsoft ein Rätsel, bis der Technologieriese diese Woche verspätet die fünf einzelnen Probleme darlegte, die schließlich zum Durchsickern des Schlüssels führten.
Microsoft sagte in sein Blogbeitrag dass im April 2021 ein System, das im Rahmen des Signaturprozesses für Verbraucherschlüssel verwendet wurde, abstürzte. Der Absturz erzeugte einen Schnappschuss des Systems zur späteren Analyse. Dieses Schlüsselsignatursystem für Verbraucher wird in einer „stark isolierten und eingeschränkten“ Umgebung aufbewahrt, in der der Internetzugang blockiert wird, um sich gegen eine Reihe von Cyberangriffen zu schützen. Microsoft wusste nicht, dass das Snapshot-Bild beim Absturz des Systems versehentlich eine Kopie des Consumer-Signaturschlüssels enthielt 1️⃣, aber die Systeme von Microsoft konnten den Schlüssel im Snapshot 2️⃣ nicht erkennen.
Das Snapshot-Bild wurde „anschließend aus dem isolierten Produktionsnetzwerk in unsere Debugging-Umgebung im mit dem Internet verbundenen Unternehmensnetzwerk verschoben“, um zu verstehen, warum das System abstürzte. Microsoft gab an, dass dies mit seinem Standard-Debugging-Prozess übereinstimmte, aber dass die Anmeldedaten-Scan-Methoden des Unternehmens das Vorhandensein des Schlüssels im Snapshot-Image auch nicht erkannten 3️⃣.
Dann, irgendwann nachdem das Snapshot-Bild im April 2021 in das Unternehmensnetzwerk von Microsoft verschoben wurde, sagte Microsoft, dass die Storm-0558-Hacker in der Lage waren, das Unternehmenskonto eines Microsoft-Ingenieurs „erfolgreich zu kompromittieren“, das Zugriff auf die Debugging-Umgebung hatte, in der der Snapshot erstellt wurde Es wurde ein Bild mit dem Verbrauchersignaturschlüssel gespeichert. Microsoft sagte, es könne nicht ganz sicher sein, dass der Schlüssel auf diese Weise gestohlen wurde, da „wir keine Protokolle mit konkreten Beweisen für diese Exfiltration haben“, sagte aber, dass dies der „wahrscheinlichste Mechanismus sei, durch den der Täter an den Schlüssel gelangt sei“.
Was die Art und Weise anbelangt, wie der Verbrauchersignaturschlüssel den Zugriff auf Unternehmens- und Unternehmens-E-Mail-Konten mehrerer Organisationen und Regierungsstellen gewährt, sagte Microsoft, dass seine E-Mail-Systeme die Schlüsselvalidierung nicht automatisch oder ordnungsgemäß durchführten 4️⃣, was bedeutete, dass das E-Mail-System von Microsoft „eine Anfrage für Unternehmen annehmen würde.“ E-Mail mit einem Sicherheitstoken, das mit dem Verbraucherschlüssel signiert ist“, 5️⃣ sagte das Unternehmen.
Geheimnis gelüftet? Nicht ganz
Das Eingeständnis von Microsoft, dass der Verbrauchersignaturschlüssel wahrscheinlich von seinen eigenen Systemen gestohlen wurde, beendet die Theorie, dass der Schlüssel womöglich woanders beschafft worden sein könnte.
Aber die Umstände, unter denen genau die Eindringlinge in Microsoft gehackt wurden, bleiben eine offene Frage. Als er um einen Kommentar gebeten wurde, sagte Jeff Jones, Senior Director bei Microsoft, gegenüber Tech, dass das Konto des Ingenieurs durch „Token-stehlende Malware“ kompromittiert worden sei, lehnte jedoch eine weitere Stellungnahme ab.
Token-stehlende Malware, die über Phishing oder bösartige Links verbreitet werden kann, sucht nach Sitzungstokens auf dem Computer eines Opfers. Sitzungstoken sind kleine Dateien, die es Benutzern ermöglichen, dauerhaft angemeldet zu bleiben, ohne ständig ein Passwort neu eingeben oder sich mit der Zwei-Faktor-Authentifizierung erneut autorisieren zu müssen. Somit können gestohlene Sitzungstoken einem Angreifer denselben Zugriff wie dem Benutzer gewähren, ohne dass das Kennwort oder der Zwei-Faktor-Code des Benutzers erforderlich ist.
Dabei handelt es sich um eine ähnliche Angriffsmethode wie bei Uber letztes Jahr durch eine jugendliche Hacker-Crew namens Lapsus$, die sich auf Malware stützte, um Passwörter oder Sitzungstoken von Uber-Mitarbeitern zu stehlen. Auch das Softwareunternehmen CircleCi wurde im Januar in ähnlicher Weise kompromittiert, nachdem die von ihm verwendete Antivirensoftware keine Token-stehlende Malware auf dem Laptop eines Ingenieurs erkennen konnte. Auch bei LastPass kam es zu einem schwerwiegenden Datenverstoß in den Passwort-Tresoren der Kunden, nachdem Hacker über den Computer eines kompromittierten LastPass-Entwicklers in den Cloud-Speicher des Unternehmens eingedrungen waren.
Wie das Konto des Microsoft-Ingenieurs kompromittiert wurde, ist ein wichtiges Detail, das Netzwerkverteidigern helfen könnte, einen ähnlichen Vorfall in Zukunft zu verhindern. Es ist nicht klar, ob der Arbeitscomputer des Ingenieurs kompromittiert wurde oder ob es sich um ein persönliches Gerät handelte, das Microsoft in seinem Netzwerk zugelassen hatte. In jedem Fall erscheint die Fokussierung auf einen einzelnen Ingenieur unfair, da die eigentlichen Schuldigen für die Kompromittierung die Netzwerksicherheitsrichtlinien sind, die den (wenn auch hochqualifizierten) Eindringling nicht blockieren konnten.
Klar ist, dass Cybersicherheit unglaublich schwierig ist, selbst für große Konzerne mit nahezu unbegrenzten Mitteln und Ressourcen. Microsoft-Ingenieure haben bei der Entwicklung von Schutz- und Verteidigungsmaßnahmen für die sensibelsten und kritischsten Systeme des Unternehmens ein breites Spektrum der komplexesten Bedrohungen und Cyberangriffe imaginiert und berücksichtigt, selbst wenn diese Verteidigungsmaßnahmen letztendlich versagten. Ob Storm-0558 wusste, dass es die Schlüssel zum E-Mail-Königreich von Microsoft finden würde, als es sich in das Netzwerk des Unternehmens hackte, oder ob es reiner Zufall und reines Timing war, es ist eine deutliche Erinnerung daran, dass Cyberkriminelle oft nur einmal erfolgreich sein müssen.
Es scheint keine passende Analogie zu geben, um diesen einzigartigen Verstoß oder diese einzigartigen Umstände zu beschreiben. Es ist möglich, von der Sicherheit des Tresorraums einer Bank beeindruckt zu sein und gleichzeitig die Bemühungen der Räuber anzuerkennen, die heimlich die Beute im Tresorraum gestohlen haben.
Es wird einige Zeit dauern, bis das volle Ausmaß der Spionagekampagne klar wird, und die verbleibenden Opfer, deren E-Mails abgerufen wurden, müssen noch öffentlich bekannt gegeben werden. Das Cyber Security Review Board, ein Gremium von Sicherheitsexperten, dessen Aufgabe es ist, die Lehren aus größeren Cybersicherheitsvorfällen zu verstehen, sagte, es werde den Microsoft-E-Mail-Verstoß untersuchen und eine umfassendere Überprüfung der Probleme „im Zusammenhang mit der Cloud-basierten Identitäts- und Authentifizierungsinfrastruktur“ durchführen.