© Naked King, Getty Images

Microsoft und der Diebstahl des Master Keys: Was Sie wissen müssen

Zuletzt aktualisiert am 20. Oktober 2023

In der Welt der digitalen Technologie und des Cloud-Computings sind Sicherheitsverletzungen und Hackingangriffe leider keine Seltenheit. Jüngst machte ein besonders brisanter Vorfall Schlagzeilen, der das Vertrauen in Microsoft und seine Azure-Cloud in Frage stellte.

Dabei geht es um den Diebstahl eines Master Keys, der möglicherweise weitreichende Auswirkungen auf die Sicherheit von Microsofts Cloud-Anwendungen hatte.

In diesem Blogbeitrag werfen wir einen genaueren Blick auf die Ereignisse rund um den Diebstahl des Master Keys und wie Microsoft darauf reagiert hat. 

Der Vorfall

Die Geschichte beginnt mit einem Hackingangriff aus China, bei dem eine Gruppe namens "Storm-0558" gefälschte Zugangs-Tokens für die Azure-Cloud verwendet hat. Diese Angriffe zielten nicht nur auf Privatpersonen, sondern vor allem auf Organisationen und sogar staatliche Einrichtungen.

Der Angriff begann im Mai 2023 und dauerte etwa einen Monat, bis eine US-Behörde Microsoft auf verdächtige Aktivitäten in ihren Online-Exchange-Konten aufmerksam machte. Damit hatte die Gruppe wochenlang Zugriff auf nahezu alle Daten bei Microsofts Clouddiensten. Aber was genau war das Ziel des Angriffs? 

Der gestohlene Schlüssel

Der Schockmoment kam, als sich herausstellte, dass die Hacker:innen nicht nur Zugang zu E-Mail-Konten erlangten, sondern auch einen äußerst mächtigen Master Key für große Teile der Microsoft-Cloud gestohlen hatten. Dieser Master Key ermöglichte der Gruppe potenziell den Zugriff auf andere Organisationen und Dienste innerhalb von Azure. Das genaue Ausmaß des Vorfalls blieb zunächst unklar, da Microsoft nur begrenzte Informationen veröffentlichte.

Expert:innen vom Sicherheitsunternehmen Wiz gelang es jedoch, den gestohlenen Microsoft Key zu identifizieren. Dieser Schlüssel war ein OpenID Signing Key für das Azure Active Directory (Azure AD). Mit diesem Schlüssel konnten die Angreifer:innen Zugangstoken für Benutzerkonten fast aller Microsoft-Cloud-Dienste erstellen. Dies beinhaltete nicht nur E-Mail-Konten, sondern auch Dienste wie Office, Sharepoint und Teams. Selbst Apps von Kund:innen, die "Login with Microsoft" unterstützten, könnten gefährdet gewesen sein. 

Laut Untersuchungen hatten die Angreifenden nicht nur Zugriff auf E-Mail-Konten, sondern auf fast die gesamte Microsoft-Cloud.

© Wichayasa Suwannachun

Potenzielle Folgen

Das ist äußerst besorgniserregend, da dies bedeutet, dass die Hacking-Gruppe potenziell Zugriff auf eine breite Palette von Anwendungen und Diensten hatte, die von zahlreichen Unternehmen und Organisationen genutzt werden. Selbst Unternehmen, die ihre eigenen Azure-AD-Instanzen und Cloud-Anwendungen betreiben, waren gefährdet, wenn sie "Login with Microsoft" anboten und anderen AAD-Instanzen vertrauten.

Die Reaktion von Microsoft

Microsoft reagierte entschlossen auf den Diebstahl des Master Keys. Sie blockierten die mit dem gestohlenen Schlüssel zertifizierten Token und ersetzten den Schlüssel. Dies soll weitere Zugriffe verhindern. Allerdings ist es durchaus möglich, dass die Angreifer:innen die betroffenen Accounts mit Hintertüren versehen haben. Microsoft versicherte den Kund:innen, die nicht kontaktiert wurden, dass sie höchstwahrscheinlich nicht betroffen seien.

Um sich vor ähnlichen Vorfällen zu schützen, hat Microsoft ein Playbook veröffentlicht, das Unternehmen bei der Identifizierung von Token-Diebstahl und ungewöhnlichen Aktivitäten in ihren Cloud-Umgebungen unterstützt.

Zusätzlich veröffentlichte Microsoft Sicherheitsupdates, um Kund:innen dabei zu helfen, die Validierung von Tokens in ihren individuellen Anwendungen zu verbessern. Diese Maßnahmen sollten die Sicherheit der Azure-Cloud weiter erhöhen.

Microsoft hat bisher nur begrenzte Informationen zu dem Vorfall veröffentlicht und den Zugang zu Log-Daten, die Hinweise auf Sicherheitsprobleme liefern könnten, nur gegen zusätzliche Kosten angeboten. Erst nach diesem Vorfall hat Microsoft angekündigt, den Zugang zu diesen Daten ohne zusätzliche Gebühren freizugeben. 

An der Reaktion Microsofts gab es heftige Kritik: zu wenig, zu spät.

© Gianluca Pantanleo

Die offenen Fragen

Trotz der Maßnahmen von Microsoft bleiben einige Fragen offen. Es gibt keine klaren Beweise dafür, dass die Hacking-Gruppe den gestohlenen Master Key über das hinausgehend genutzt haben, was Microsoft bisher eingeräumt hat. Dies könnte auf die begrenzten Informationen und den eingeschränkten Zugang zu Cloud-Dienst-Log-Daten zurückzuführen sein. Denn bis heute weigert Microsoft sich, die genauen Hintergründe, die tatsächlich betroffenen Produkte und die Konsequenzen offenzulegen.

Dazu, wie der Schlüssel überhaupt gestohlen werden konnte, hat Microsoft sich mittlerweile geäußert: Bei Untersuchungen ist nun herausgekommen, dass der Schlüssel vermutlich aus einem Crash-Dump stammt. Das sind Speicherbereiche, die in eine Datei geschrieben werden, falls eine Anwendung abstürzt. Laut Microsoft pflege es eine hochisolierte und gesicherte Produktionsumgebung. Dort lief das fragliche Consumer-Signing-System. Nach einem Absturz des Systems im April 2021 landete der Schlüssel durch eine Verkettung von Zufällen in besagtem Crash-Dump. Das will Microsoft jetzt beheben.

Obwohl der Schlüssel nicht mehr funktioniert, hätte die Hacking-Gruppe problemlos Hintertüren in den Cloud-Diensten anlegen können. Daher müsste jetzt eigentlich die gesamte Microsoft-Cloud auf derartige Hintertüren und mögliche kompromittierte Zugänge durchsucht werden. Doch niemand weiß so richtig, wie das funktionieren kann. Auch von Microsoft kommt hier nicht die benötigte Unterstützung.

Der Konzern hat aber angekündigt, die Sicherheitsmaßnahmen zu erhöhen. Die angekündigten Maßnahmen lassen aber auch erahnen, dass bisher einiges schieflief – vor allem in Bezug auf den Aufbewahrungsort und die Überwachungsmaßnahmen.

Es bleibt jedoch eine wichtige Lehre aus diesem Vorfall: Die Sicherheit in der digitalen Welt ist von entscheidender Bedeutung, und Unternehmen müssen ständig daran arbeiten, ihre Systeme zu schützen und auf mögliche Sicherheitsverletzungen vorbereitet zu sein. 

Cloud-Strategien überdenken

Die Nutzung von Cloudlösungen hat zweifellos die Art und Weise, wie Unternehmen ihre Daten speichern und verwalten, revolutioniert. Doch trotz der vielen Vorteile, die die Cloud bietet, ist es wichtig, sich der Herausforderungen bewusst zu sein, die damit einhergehen können. In den USA haben Behörden in letzter Zeit ihre Cloudstrategien überdacht und überlegen genau, wo sie welche Daten in der Cloud ablegen sollten.

Dieser Schritt zeigt deutlich, wie wichtig es ist, eine gut durchdachte Cloudstrategie zu entwickeln. Es geht nicht nur darum, Daten in die Cloud zu verschieben, sondern auch darum, die richtige Cloudlösung für die eigenen Bedürfnisse zu wählen. Microsoft ist sicherlich eine beliebte Wahl, aber es gibt auch viele andere Anbieter, die unterschiedliche Ansätze verfolgen. Daher ist es entscheidend, die spezifischen Anforderungen und Ziele Ihres Unternehmens zu berücksichtigen, bevor Sie sich für eine Cloudlösung entscheiden. Sensibilisierung für Cloudlösungen bedeutet, die Vor- und Nachteile sorgfältig abzuwägen und eine Strategie zu entwickeln, die perfekt zu Ihren individuellen Anforderungen passt. 

Fazit

Der Diebstahl des Master Keys ist ein ernstzunehmender Vorfall, der die Sicherheit von Microsofts Cloud-Diensten in Frage stellt. Unternehmen sollten die Empfehlungen und Hilfestellungen von Microsoft nutzen, um ihre Cloud-Umgebungen zu schützen und sicherzustellen, dass sie nicht Opfer ähnlicher Angriffe werden.

Die genauen Auswirkungen dieses Vorfalls sind noch nicht vollständig geklärt, aber er verdeutlicht die Notwendigkeit eines stärkeren Fokus auf die Sicherheit und den Schutz von Unternehmensdaten in der Cloud.

Die datenschutzguide.ch und ihre Partner beschäftigen sich bereits seit Langem mit dem Thema des Datenschutzes und insbesondere des Datentransfers mittels verschiedenster Plattformen unter anderem in Länder der Europäischen Union sowie in die USA oder auch in asiatische Länder und werden Sie auch weiterhin über neue Entwicklungen auf dem Laufenden halten, da es hier enorme Weiterentwicklungen gibt.

Wir unterstützen Sie!

Sie haben Fragen zum neuen nDSG? Oder Sie benötigen Unterstützung bei der Vorbereitung auf das Inkrafttreten? Wir unterstützen Sie und beraten Sie zu Ihren Möglichkeiten sowie den kommenden Anforderungen des nDSG.

Sprechen Sie uns an!
Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden Cookies, um die Inhalte und Werbung zu personalisieren, Funktionen sozialer Medien anzubieten und unseren Traffic zu analysieren. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies

SIE WOLLEN UP TO DATE BLEIBEN?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich noch heute an.

Newsletter Anmeldung