Gestohlener Microsoft-Signaturschlüssel

Am 3. Juli 2023 hat Microsoft die Gültigkeit eines privaten Signaturschlüssels zurückgezogen. Offenbar war zuvor ein sogenannter OpenID-Signaturschlüssel für das Azure-Active-Directory gestohlen worden. Dies war kein Masterschlüssel, sondern nur ein Teilschlüssel und ermöglichte eine Teilautorisierung. Er ermöglicht also keine Anmeldung an allen Anwendungen. Vielmehr hätte ein Angreifer den Schlüssel dazu verwenden können, um Tokens zu fälschen und sich als Nutzer der betroffenen Anwendungen zu authentifizieren.

Recherchen haben ergeben, dass der Angriff vor dem 27. Juni gewesen sein muss und die Angreifer mindestens einen Monat lang diesen Schlüssel nutzen konnten. Der Angriff wird der chinesischen Gruppierung Storm-0558 zugeschrieben.

Nach aktuellem Kenntnisstand könnten weltweit nahezu alle Nutzer von Microsoft-Cloud-Diensten betroffen sein (z. B. Outlook, SharePoint, Office365, Teams, OneDrive und Drittanwendungen, die die Funktion Bei Microsoft anmelden anbieten). Da Millionen von Anwendungen potenziell anfällig waren, ist es schwierig, das gesamte Ausmaß des Vorfalls zu überblicken.

Dazu zählen sowohl Microsoft-Anwendungen als auch kundeneigene Anwendungen. Die meisten von ihnen haben keine ausreichenden Protokolle, um eine mögliche Kompromittierung festzustellen.

Für weitere Informationen empfiehlt Microsoft den Threat Intelligence-Blog. Anhand der dort veröffentlichten Indikatoren (IoCs) kann die eigene Umgebung vorsorglich überprüft werden (siehe Link unten). Außerdem hat Microsoft die Verfügbarkeit von Sicherheitsprotokollen erweitert und standardmäßig für mehr Kunden kostenlos zur Verfügung gestellt.

Als Einfallstor nutzten die Angreifer eine Schwachstelle in Microsofts E-Mail-Lösungen Outlook Web Access (OWA) und Outlook.com. Konkret soll Storm-0558 zunächst die Authentifizierungstoken für den Zugriff auf Benutzerkonten dieser Portale gefälscht haben. Dann nutzte die Gruppierung ein Token-Validierungsproblem aus, um sich als Azure-AD-Benutzer auszugeben und Zugriff auf die E-Mail-Konten der Organisation zu  bekommen. Auf diese Weise konnten sie E-Mail-Konten von ungefähr 25 Unternehmen ausspähen.

Die CSBW empfiehlt, Systeme in Ihrem Zuständigkeitsbereich zu prüfen und die beschriebenen Maßnahmen umzusetzen bzw. über einen Dienstleister umsetzen zu lassen.