Wie ein Cloud-Fehler chinesischen Spionen einen Schlüssel zum Microsoft-Königreich verschaffte

Feb 10, 2024

Andy Greenberg

Für die meisten IT-Experten war der Wechsel in die Cloud ein Glücksfall. Anstatt Ihre Daten selbst zu schützen, lassen Sie sie stattdessen von den Sicherheitsexperten von Google oder Microsoft schützen. Aber wenn ein einziger gestohlener Schlüssel Hackern den Zugriff auf Cloud-Daten von Dutzenden von Organisationen ermöglichen kann, klingt dieser Kompromiss weitaus riskanter.

Am späten Dienstagabend gab Microsoft bekannt, dass eine in China ansässige Hackergruppe namens Storm-0558 genau das getan hatte. Die Gruppe, die sich auf die Spionage gegen westeuropäische Regierungen konzentriert, hatte Zugriff auf die cloudbasierten Outlook-E-Mail-Systeme von 25 Organisationen, darunter mehreren Regierungsbehörden.

Diese Ziele umfassen laut CNN US-Regierungsbehörden, einschließlich des Außenministeriums, obwohl US-Beamte immer noch daran arbeiten, das volle Ausmaß und die Folgen der Verstöße zu ermitteln. In einem Gutachten der US-amerikanischen Cybersecurity and Infrastructure Security Agency heißt es, dass durch den Verstoß, der Mitte Juni von einer US-Regierungsbehörde entdeckt wurde, nicht klassifizierte E-Mail-Daten „von einer kleinen Anzahl von Konten“ gestohlen wurden.

China hackt seit Jahrzehnten unermüdlich westliche Netzwerke. Bei diesem neuesten Angriff kommt jedoch ein einzigartiger Trick zum Einsatz: Laut Microsoft haben Hacker einen kryptografischen Schlüssel gestohlen, mit dem sie ihre eigenen Authentifizierungs-„Tokens“ generieren konnten – Informationsketten, die die Identität eines Benutzers beweisen sollen – und ihnen so freie Hand bei Dutzenden von Microsoft-Kundenkonten gaben.

„Wir vertrauen auf Pässe, und jemand hat eine Maschine zum Drucken von Pässen gestohlen“, sagt Jake Williams, ein ehemaliger NSA-Hacker, der jetzt am Institute for Applied Network Security in Boston lehrt. „Für einen so großen Shop wie Microsoft, bei dem so viele Kunden betroffen sind – oder die davon hätten betroffen sein können – ist das beispiellos.“

In webbasierten Cloud-Systemen stellen die Browser der Benutzer eine Verbindung zu einem Remote-Server her und wenn sie Anmeldeinformationen wie einen Benutzernamen und ein Passwort eingeben, erhalten sie von diesem Server ein paar Daten, ein sogenanntes Token. Der Token dient als eine Art temporärer Ausweis, der es Benutzern ermöglicht, innerhalb einer Cloud-Umgebung nach Belieben zu kommen und zu gehen, ohne ihre Zugangsdaten nur gelegentlich erneut einzugeben. Um sicherzustellen, dass das Token nicht gefälscht werden kann, wird es kryptografisch mit einer einzigartigen Datenzeichenfolge signiert, die als Zertifikat oder Schlüssel bezeichnet wird und über die der Cloud-Dienst verfügt, eine Art fälschungssicheres Echtheitssiegel.

Lexi Pandell

Reid McCarter

Angela Wasserschneider

Julian Chokkattu

Microsoft hat in seinem Blog-Beitrag, in dem er die Verstöße gegen Outlook in China aufdeckt, eine Art zweistufigen Zusammenbruch dieses Authentifizierungssystems beschrieben. Erstens gelang es Hackern irgendwie, einen Schlüssel zu stehlen, den Microsoft zum Signieren von Token für Verbraucher seiner Cloud-Dienste verwendet. Zweitens nutzten die Hacker einen Fehler im Token-Validierungssystem von Microsoft aus, der es ihnen ermöglichte, mit dem gestohlenen Schlüssel Consumer-Token zu signieren und diese dann stattdessen für den Zugriff auf Unternehmenssysteme zu verwenden. All dies geschah trotz des Versuchs von Microsoft, Signaturen verschiedener Schlüssel für diese verschiedenen Token-Klassen zu überprüfen.

Microsoft gibt an, dass es nun alle Token, die mit dem gestohlenen Schlüssel signiert wurden, blockiert und den Schlüssel durch einen neuen ersetzt hat, um Hacker daran zu hindern, auf die Systeme der Opfer zuzugreifen. Das Unternehmen fügt hinzu, dass es seit dem Diebstahl auch daran gearbeitet habe, die Sicherheit seiner „Schlüsselverwaltungssysteme“ zu verbessern.

Doch wie genau ein so sensibler Schlüssel, der einen so weitreichenden Zugriff ermöglicht, überhaupt gestohlen werden konnte, ist unbekannt. WIRED kontaktierte Microsoft, das Unternehmen lehnte jedoch eine weitere Stellungnahme ab.

In Ermangelung weiterer Details seitens Microsoft besteht eine Theorie darüber, wie der Diebstahl stattgefunden hat, darin, dass der Token-Signaturschlüssel überhaupt nicht von Microsoft gestohlen wurde, so Tal Skverer, der die Forschung beim Sicherheitsunternehmen Astrix leitet Jahr wurde ein Token-Sicherheitsproblem in der Cloud von Google aufgedeckt. In älteren Outlook-Setups wird der Dienst auf einem Server des Kunden gehostet und verwaltet und nicht in der Cloud von Microsoft. Dies hätte es den Hackern möglicherweise ermöglicht, den Schlüssel von einem dieser „lokalen“ Setups im Netzwerk eines Kunden zu stehlen.

Skverer vermutet, dass Hacker dann möglicherweise den Fehler ausnutzen konnten, der es dem Schlüssel zum Signieren von Unternehmenstoken ermöglichte, Zugriff auf eine Outlook-Cloud-Instanz zu erhalten, die von allen 25 von dem Angriff betroffenen Organisationen gemeinsam genutzt wurde. „Meine beste Vermutung ist, dass sie von einem einzigen Server aus gestartet sind, der zu einer dieser Organisationen gehörte“, sagt Skverer, „und den Sprung in die Cloud geschafft haben, indem sie diesen Validierungsfehler missbraucht haben, und dann Zugriff auf weitere Organisationen erhalten haben, die das gemeinsam genutzt haben.“ Dieselbe Cloud-Outlook-Instanz.“

Diese Theorie erklärt jedoch nicht, warum ein lokaler Server für einen Microsoft-Dienst innerhalb eines Unternehmensnetzwerks einen Schlüssel verwenden würde, den Microsoft als zum Signieren von Verbraucherkonto-Tokens gedacht bezeichnet. Es erklärt auch nicht, warum so viele Organisationen, einschließlich US-Regierungsbehörden, alle eine Outlook-Cloud-Instanz teilen.

Eine andere, weitaus besorgniserregendere Theorie besagt, dass der von den Hackern verwendete Token-Signaturschlüssel aus Microsofts eigenem Netzwerk gestohlen wurde, indem er das Unternehmen dazu verleitete, den Hackern einen neuen Schlüssel auszugeben, oder dass er durch Ausnutzen von Fehlern sogar irgendwie reproduziert wurde der kryptografische Prozess, der es erstellt hat. In Kombination mit dem von Microsoft beschriebenen Token-Validierungsfehler kann dies bedeuten, dass es zum Signieren von Token für jedes Outlook-Cloud-Konto, jeden Verbraucher oder jedes Unternehmen verwendet werden konnte – ein Skelettschlüssel für einen großen Teil oder sogar die gesamte Microsoft-Cloud.

Der bekannte Web-Sicherheitsforscher Robert „RSnake“ Hansen sagt, er habe die Zeile in Microsofts Beitrag über die Verbesserung der Sicherheit von „Schlüsselverwaltungssystemen“ gelesen und darauf hingewiesen, dass Microsofts „Zertifizierungsstelle“ – ein eigenes System zur Generierung der Schlüssel zum kryptografischen Signieren von Token – wurde irgendwie von den chinesischen Spionen gehackt. „Es ist sehr wahrscheinlich, dass entweder ein Fehler in der Infrastruktur oder Konfiguration der Zertifizierungsstelle von Microsoft vorlag, der dazu führte, dass ein vorhandenes Zertifikat kompromittiert oder ein neues Zertifikat erstellt wurde“, sagt Hansen.

Lexi Pandell

Reid McCarter

Angela Wasserschneider

Julian Chokkattu

Sollten die Hacker tatsächlich einen Signaturschlüssel stehlen, der zum Fälschen von Tokens auf breiter Basis für Verbraucherkonten – und dank Microsofts Token-Validierungsproblem auch für Unternehmenskonten – verwendet werden könnte, könnte die Zahl der Opfer weitaus größer sein als die von 25 Organisationen, über die Microsoft verfügt öffentlich zur Rechenschaft gezogen, warnt Williams.

Um Unternehmensopfer zu identifizieren, könnte Microsoft herausfinden, welche ihrer Token mit einem Schlüssel für Endverbraucher signiert wurden. Dieser Schlüssel hätte aber auch zur Generierung von Token für Endverbraucher verwendet werden können, was möglicherweise weitaus schwieriger zu erkennen ist, da die Token möglicherweise mit dem erwarteten Schlüssel signiert wurden. „Wie würden Sie das auf Verbraucherseite wissen?“ fragt Williams. „Microsoft hat das nicht besprochen, und ich denke, wir sollten viel mehr Transparenz erwarten.“

Microsofts neueste chinesische Spionage-Enthüllung ist nicht das erste Mal, dass staatlich geförderte Hacker Token ausnutzen, um Ziele zu durchbrechen oder ihren Zugriff zu verbreiten. Die russischen Hacker, die den berüchtigten Lieferkettenangriff von Solar Winds durchführten, stahlen auch Microsoft Outlook-Tokens von den Computern der Opfer, die an anderer Stelle im Netzwerk verwendet werden konnten, um ihre Reichweite auf sensible Systeme aufrechtzuerhalten und auszudehnen.

Für IT-Administratoren verdeutlichen diese Vorfälle – und insbesondere dieser jüngste – einige der realen Kompromisse bei der Migration in die Cloud. Microsoft und der Großteil der Cybersicherheitsbranche empfehlen seit Jahren den Übergang zu Cloud-basierten Systemen, um die Sicherheit in die Hände von Technologiegiganten und nicht von kleineren Unternehmen zu legen. Aber zentralisierte Systeme können ihre eigenen Schwachstellen haben – mit möglicherweise massiven Folgen.

„Sie übergeben Microsoft die Schlüssel zum Königreich“, sagt Williams. „Wenn Ihre Organisation damit jetzt nicht einverstanden ist, haben Sie keine guten Optionen.“