Microsoft mit großer Sicherheitslücke

Ein unberechtigt ausgelesener (2016 erstellter) Signaturschlüssel (Ablaufdatum 2021) hat als Masterkey Unberechtigten den Vollzugriff auf die Azure-Cloud und auf Cloud-basierte Services ermöglicht! Er wurde 2016 erstellt und war schon 2021 abgelaufen. Die Täter hatten (wohl über Jahre) Zugriff auf vermutlich alle Microsoft-Cloud-Anwendungen wie ExchangeOnline, Office365 mit Outlook.com, Sharepoint, Onedrive und Teams – sowie Drittanwendungen mit der Funktion „Sign in with Microsoft“. Microsoft hat bisher wenig zum Fall veröffentlicht, die betroffenen Produkte nicht (vollständig) genannt, so dass Anwender ihre Daten bisher kaum schützen können.

Vor knapp zwei Jahren wurde schon einmal eine Sicherheitslücke in der Microsoft Cloud Azure ausgenutzt, um auf solche Primärschlüssel zugreifen zu können und damit (unberechtigten) Vollzugriff zu erhalten . Zwar wurde die Sicherheitslücke nach 14 Tagen gepatcht, allerdings nicht alle der weltweit mehrere tausend Anwender informiert und – genauso wie im aktuellen Fall – weder über die notwendigen Sicherheitsmaßnahmen noch über verbleibende Risiken aufgeklärt. Damals wurde der Vorfall als „schlimmste Cloud-Schwachstelle, die man sich vorstellen könne“ bewertet. Der aktuelle Fall übertrifft den alten.

Im Januar 2021 wurde bekannt, dass Angreifer über eine mit einer Backdoor versehene Version von Version von SolarWinds „Orion“ in das interne Netz von Microsoft eindringen und Quellcode einsehen konnten. Auch wurden lange kritische Sicherheitslücken in der Druckerverwaltung nicht gepatcht. In-wieweit diese Angriffe Grundlagen für jüngere Angriffe sind, ist auch nicht veröffentlicht.
Im Folgenden wird das aktuelle Ereignis dargestellt und bewertet – soweit die Technik bekannt und Fakten veröffentlicht sind. Insgesamt wird Microsoft vorgeworfen, zu zögerlich zu informieren und die Bedeutung des Falls nicht angemessen deutlich werden zu lassen. Angesprochen werden auch branchen-typische (Cloud) Fehler und welche Sicherheitsmaßnahmen Cloud-Anwender ergreifen können.

Betroffen dürften insbesondere die Branchen Gesundheitswesen, Energie, Ernährung, Medien, Kommunikation und Finance sein.

Was ist bisher vorgefallen?

Mitte Juni erkannte eine US-Regierungsbehörde unberechtigte Zugriffe auf Ihre E-Mails in Online-Exchange-Konten; diese betrafen auch europäische Regierungsbehörden. Es ist nicht bekannt, wie lange die Täter zu diesem Zeitpunkt schon in den Microsoft-Systemen aktiv waren.

Das US Cloud-Security Sicherheitsunternehmen Wiz hat (nach eigenen Angaben) inzwischen den von den Tätern benutzten Signaturschlüssel mithilfe des von Microsoft veröffentlichten Fingerprints identifiziert. Mit diesem wurden Zugriffsberechtigungen generiert und Mails von Unternehmen und Regierungs-behörden ausspioniert. Es ist unveröffentlicht, wann, wo und wie die Angreifer den Signaturschlüssel lesen und kopieren konnten und es ist auch nicht veröffentlicht, wie die Gültigkeitsprüfung umgangen werden konnte.

Insgesamt scheinen mehrere Designfehler in der Zugriffskontrolle vorzuliegen. Dies führt zu der Vermutung, dass die Täter längere Zeit in den Microsoft-Systemen aktiv waren und sorgfältig mögliche Angriffswege auskundschafteten und auch ausprobierten. Weltweit sind bei Cyber-Angriffen Täter durch-schnittlich 6 Monate in den Opfer-Systemen aktiv.

Microsoft hat erste Sicherheitsmaßnahmen ergriffen und die Nutzung des Signaturschlüssels und der damit generierten Token und diese Täteraktivitäten abgeblockt. Der Signaturschlüssel wurde ersetzt.

Wer waren die Täter?

Zu diesem Zeitpunkt lässt sich noch keine nachweisbare Zuordnung zu einem Staat (China) und/oder zu einer Cyber-Crime Gruppe (Storm-0558) vornehmen; Namensnennungen oder Zuordnungen sind nicht verifizierbar.

Fachleute aus dem Geheimdienstbereich urteilen, dass Microsoft gezielt Namen und Nationalitäten nennt, um von eigenen Fehlern abzulenken und die Öffentlichkeit und Regierungen zu beruhigen.
Selbst wenn ein Nachweis erbracht würde, ist eine strafrechtliche Verfolgung der Täter sehr aufwändig – dies ist allerdings im Einzelfall in den USA gelungen.

Wer sind die Opfer?

Weltweit alle Unternehmen und Behörden, die die Azure-Cloud oder Azure-Clouddienste nutzen.

Welche Fehler wurden gemacht?

Es handelt sich um einen OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD). Das ist Microsofts Cloud-Verzeichnisdienst. Ein Signaturschlüssel wurde zur Erstellung digitaler Signaturen unberechtigt kopiert, der eine eigentlich nur für Privatkunden-Konten (MSA) vorgesehene digitale Unterschrift auch im Azure Active Directory für Business-Kunden generierte. Eine Begründung für diese Entscheidung ist (bisher) unveröffentlicht.
Vermutlich ist dieser Schlüssel auch Sicherheitsbehörden bekannt; ggf. wurde er dort nicht korrekt gesichert.

Bewertung – welche Risiken drohen?

Wenn (endlich) der Angriff vollständig (!) analysiert und veröffentlicht (?) ist und auch die Angriffspunkte, die ausgenutzten Sicherheitslücken veröffentlicht und gepatcht sind, ist aber dieser Angriff noch nicht abgewehrt! Die Täter konnten in allen Systemen aller Kunden, in jeder Software, Firmware und (erfahrungsgemäß) auch im Microcode von Geräten (!) unerkannt Backdoors installieren, auf die sie in den nächsten Monaten und Jahren unerkannt zugreifen können und in den Systemen aller betroffenen Unternehmen und Behörden Daten auslesen (Spionage) oder manipulieren (Sabotage).

Empfehlungen an Microsoft

Der von den Microsoft-Mitarbeitern Steve Lipner (und Michael Howard) entwickelte ‚Secure Development Lifecycle (SDL)‘ sollte bereits bei den ersten Entwicklungsschritten eingesetzt werden. Er ist die Grundlage für die Norm ISO/IEC 27034 (Application Security) . Zur Sicherheitsarchitektur gehört nach dem Stand der Technik, wichtige Daten wie Signaturschlüssel in einem Hardware Security Module (HSM) zu speichern, der Schutz gegen Kopieren und Manipulation bieten soll.
Microsoft sollte seinen Kunden zeitnah Prüf- und Sicherheitsmaßnahmen empfehlen.

Empfehlungen an die Anwender

Anwender sollten zu einer wirkungsvollen Schadensbegrenzung einen Minimalsatz von Sicherheitsmaß-nahmen implementieren, die eine angemessen sichere Nutzung TROTZ unsicherer Clouds erreichen: Reduzierung der Angriffsflächen.

Empfehlenswert ist schon heute die Implementierung der in den europäischen Gesetzen und Richtlinien wie dem Gesetz für den Finanzbereich ‚Digital Organisational Resilience Act‘ (DORA) und der Richtlinie ‚Network Information Security 2‘ (NIS2).

Clouds selbst können gar nicht zu 100% abgesichert werden! Zu den Minimalmaßnahmen gehört daher eine eigene Verschlüsselung der in der Cloud gespeicherten Daten. Risiko-behaftet erscheint grundsätzlich eine (unverschlüsselte) Verarbeitung wertvoller Unternehmensdaten in einer Cloud.
Sofern personenbezogene Daten betroffen sein könnten, sollten zeitnah die zuständigen Datenschutz-behörden vorsorglich informiert werden.

Beginnen sollten Anwender mit der Identifizierung der von den Angreifern ausgenutzten Angriffspunkte (Sicherheitslücken) und der Identifizierung von (inzwischen erfahrungsgemäß) eingebauten Backdoors. Dies gelingt gut mit einem vollständigen Security Test – auch wenn Microsoft formuliert, „no customer action is required” und „if you have not been contacted, our investigations indicate that you have not been impacted”. Auch jedes AAD- und Microsoft-Konto muss unverzichtbar auf unberechtigte Aktivitäten überprüft werden.

Politisch wünschenswert wäre, Anwendern ein Recht auf Sicherheitsüberprüfung von Produkten wie Clouds zu geben – also auch für andere Cloud-Provider.

Umso brisanter der Fall tatsächlich ist, umso mehr der Eindruck entsteht, die implementierten Sicherheitsfunktionen sind kompromittiert, umso größer ist das Interesse von Microsoft und den Sicherheitsbehörden, Details geheim zu halten. Wir werden also nicht viel mehr erfahren.

Die Autoren

Wilfried Kirsch, Handelsbevollmächtigter softScheck GmbH, Köln – St. Augustin
Prof. Dr. Hartmut Pohl, geschäftsführender Gesellschafter softScheck GmbH

Mehr Informationen: softscheck.com/de.