Update: Gestohlener Microsoft-Key stammt aus Windows-Crash-Dump

Update vom 11. September 2023: Der gestohlene Schlüssel, mit dem sich die chinesische Bande Storm-0558 im Juli 2023 Microsoft-Konten verschafft hat, stammt scheinbar aus einem Crash-Dump, also einem Speicherauszug für die Fehlerdiagnose. Das zeigen Analysen von Microsoft, wie "Bleeping Computer" berichtet.

Das Unternehmen habe bei den Untersuchungen bemerkt, dass der betroffene MSA-Key in einem Crash-Dump durchgesickert war, nachdem ein Signiersystem für Verbraucher im April 2021 abgestürzt war. Eigentlich sollte der Schlüssel im Dump nicht enthalten sein - durch eine Reihe an Zufällen sei er aber darin enthalten geblieben und nicht wie üblich ausgeklammert worden. Eine Race-Condition im Code habe dafür gesorgt, dass der Key im Speicherauszug landete. Weitere Mechanismen beim Verschieben der Daten dafür sorgen, dass keine sensiblen Daten, etwa Zugangsdaten, in weniger gesicherte Bereiche gelangen. Die Mechanismen hätten den Schlüssel allerdings nicht erkannt.

Der Speicherauszug wurde später aus dem isolierten Produktionsnetzwerk des Unternehmens in die mit dem Internet verbundene Debugging-Umgebung des Unternehmens verschoben, wie es weiter heisst. Die Angreifer hätten den Schlüssel gefunden, nachdem sie erfolgreich das Unternehmenskonto eines Microsoft-Ingenieurs kompromittiert hätten, berichtet "Bleeping Computer." Die Person habe Zugriff auf die Debugging-Umgebung mit dem Schlüssel gehabt.

"Aufgrund von Richtlinien zur Aufbewahrung von Protokollen haben wir keine Protokolle mit spezifischen Beweisen für diese Exfiltration durch diesen Akteur, aber dies war der wahrscheinlichste Mechanismus, durch den der Akteur den Schlüssel erworben hat", erklärt Microsoft in einem Blogpost. "Unsere Methoden zum Scannen von Anmeldeinformationen haben sein Vorhandensein nicht erkannt"
 

Update vom 25. Juli 2023:

Gestohlener Microsoft-Key ist mächtiger als angenommen

Der "Masterkey", den Angreifer entwendet haben, um Outlook-Konten zu hacken und US-Behörden auszuspionieren, ist wohl mächtiger als ursprünglich gedacht. Das Sicherheitsunternehmen Wiz will den betroffenen Microsoft-Key identifiziert haben, wie "Heise" berichtet. Die Angreifer hätten damit auch Zugriff auf zahlreiche Anwendungen der Microsoft Cloud wie Sharepoint und Teams gehabt. Kunden-Apps in der Cloud mit Login über Microsoft seien ebenfalls offen gestanden. Ob die Angreifer davon auch tatsächlich Gebrauch machten, sei jedoch unklar, schreibt "Heise" - von Microsoft selbst gebe es nämlich noch keine klaren Aussagen zum Vorfall.

Beim gestohlenen Schlüssel handle es sich um einen OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD), so etwas wie ein Telefonbuch für bekannte Cloud-User. Laut Wiz könne man damit Zugangstokens für die Benutzerkonten vieler Microsoft-Anwendungen erstellen, schreibt "Heise" weiter. Und: "Der kompromittierte Schlüssel war vertrauenswürdig, um jedes OpenID v2.0-Zugriffstoken für persönliche Konten und AAD-Anwendungen mit gemischtem Publikum (mit mehreren Mandanten oder persönlichen Konten) zu signieren."

Microsoft habe den betroffenen Key inzwischen gesperrt - es sei aber durchaus möglich gewesen, zuvor Hintertürchen in den gehackten Konten zu erstellen. Das genaue Ausmass der Angriffe ist laut "Heise" noch ungewiss.

Originalmeldung vom 13. Juli 2023: 

Chinesische Hacker spionieren E-Mails US-amerikanischer Behörden aus

Eine chinesische Hackergruppe hat offenbar wochenlang E-Mails US-amerikanischer Verwaltungsangestellter mitlesen können. Unter den Ausspionierten sind etwa die Handelsministerin Gina Raimondo sowie Mitarbeitende des Aussenministeriums, wie das "Wall Street Journal" (Paywall) berichtet.

Als Einfallstor nutzten die Hacker eine Schwachstelle in Microsofts E-Mail-Lösungen Outlook Web Access (OWA) und Outlook.com. Konkret sollen sie zunächst die Authentifizierungstoken für den Zugriff auf Benutzerkonten dieser Portale gefälscht haben. Dann nutzten sie ein Token-Validierungsproblem aus, um sich als Azure AD-Benutzer auszugeben und Zugriff auf die E-Mail-Konten der Organisation zu erlangen, wie "Techcrunch" unter Berufung auf die von Microsoft veröffentlichte technische Analyse zusammenfasst.

Auf diese Weise konnte die Gruppe 25 E-Mail-Konten aushorchen. Während ungefähr einem Monat seien die Aktivitäten der Gruppe, die Microsoft "Storm-0885" nennt, unentdeckt geblieben, heisst es weiter. Inzwischen, so Microsoft, habe man die Schwachstelle behoben, sodass die Hacker nicht mehr auf die E-Mail-Konten zugreifen könnten. Und laut einer Mitteilung der Cybersicherheitsbehörde CISA habe die Hackergruppe lediglich auf nicht klassifizierte E-Mail-Daten zugegriffen.

Zur Motivation des Angriffs sagt Microsofts Sicherheitschef Charlie Bell: "Wir gehen davon aus, dass sich dieser Angreifer auf Spionage konzentriert, indem er sich etwa Zugang zu E-Mail-Systemen verschafft, um Informationen zu sammeln. Diese Art von spionagemotivierten Angreifern versucht, Anmeldeinformationen zu missbrauchen und Zugang zu Daten in sensiblen Systemen zu erlangen."

Europa wird für mit China verbündete Hackergruppen immer attraktiver. Zu diesem Schluss kam Cybersecurity-Anbieter Eset Anfang Jahr. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.