Der Gau: Ein Microsoft Cloud-Schlüsselverlust, irgendwann zwischen 2021 und 2023

Im Sommer 2023 decken US-Behörden einen signifikanten Hacker chinesischer Schadakteure gegen Bundesministerien der USA auf. Den Angreifern gelang das Ausspähen der Email-Konten hochrangiger Staatsdienenden. Der Angriffsvektor war ein entwendeter Schlüsse, ein sogenanntes "Golden Ticket". Die Aufarbeitung Microsofts lässt weiterhin einige Fragen offen. Dirk Michael Ockel, Gründer und Security Experte von Complion, fasst den Vorfall und das bekannte in diesem Artikel zusammen.

Juni 2023: Eine US-amerikanische Bundesbehörde meldet der CISA (dem Pendant zum deutschen Bundesamt für Sicherheit in der Informationstechnologie) unrechtmäßige Zugriffe auf E-Mails in der Microsoft Cloud. Es stellt sich heraus, dass ein Angreifer mit einem Signatur-Schlüssel und einem Authentication Token den Zugriff auf „25 Behörden und andere Netze“ (so Microsoft) erlangt hatte. Mit Powershell und Python-Scripts wurden vermutlich große Mengen von E-Mails, Anhänge und Verzeichnisinformationen aus den Microsoft Systemen Exchange Online/OWA und Outlook gestohlen. Der Angreifer wird von den Amerikanern als ein bekannter chinesischer regierungsnaher Akteur bewertet. Die Signatur-Codes wurden zwei Jahre alten Dateien in Microsoft-internen Systemen entnommen, nämlich einem Crash Dump, den Entwickler typischerweise während der Entwicklungsphase von Software erzeugen, um auftretende Programmfehler bei der Ausführung des Codes zu analysieren.

Microsoft hat seinen Kunden daraufhin sehr schnell erweiterte Logging-Funktionalitäten, die eigentlich kostenpflichtig waren, allgemein zur Verfügung gestellt. Auch hat man den Vorfall in wochenlanger Analyse detailliert aufgearbeitet und Erklärungen veröffentlicht, deren Wortlaut die Mitautorenschaft der Konzernrechtsabteilungen zeigt. Mit diesen Erklärungen können wir als Anwender die Fehlerkette (oder besser, das Fehlernetz) nachvollziehen: a.: dass ein Crash Dump erzeugt worden ist; b.: dass dieser in weniger gesicherten Entwicklungsumgebungen liegt; c.: dass der gestohlene Schlüssel aufgrund weiterer Microsoft-Fehler für weiter reichende Zugriffe auf Geschäftskundendaten funktioniert hat, für die er nie erzeugt worden war; d.: schließlich auch, warum der Schlüssel trotz überschrittenem Ablaufdatum noch akzeptiert wurde. So weit, so schlecht.

Jedoch bleibt der Ursprung von allem hingegen im Dunkeln: wie konnte der Angreifer an die Login-Daten des Microsoft-Entwicklers (der in die Erzeugung des Crash Dumps involviert war), gelangen? Dies passierte möglicherweise bereits vor etwa zwei Jahren. Was ist danach sonst noch passiert? Der Hersteller lässt hierzu zweierlei verlauten: zunächst, dass man zuversichtlich ist, dass keine weiteren Diebstähle aus den Microsoft-Systemen erfolgt wären, da man „den Source Code des Angreifers analysiert habe“. Des Weiteren heißt es, dass die Logfiles zur Ursprungs-Kompromittierung nicht mehr vorhanden sind. Wir wissen also noch nicht einmal, ob es gestohlene Login-Daten des Entwicklers waren oder ein Insider-Threat oder z.B. ein Zero Day Fehler, den niemand (außer denen, die ihn ausgenutzt haben) kannte.

Diese Situation, also den Anfang der Fehlerkette nicht (mehr) zu kennen, ist für die Microsoft-Anwender sehr unbefriedigend. Ein Einbruch in die globalen Cloud-Speicher der großen Hyperscaler ist ein GAU.

Verbandsintern haben wir zum Vorfall umfangreiche Analysen und Bewertungen erstellt und zur Verfügung gestellt. Über einhundert Mitgliedsunternehmen von VOICE haben in unseren CIO-Erfahrungsaustausch-Konferenzen hierüber intensiv und mehrfach diskutiert. Ähnlich viele, wie Weihnachten 2021 über Log4Shell. Nun geht es darum, Konsequenzen zu ziehen.

Welche Konsequenzen können dies sein: Operativ zunächst natürlich die weitere Härtung der Cloud-Systeme, sowie das erweiterte Monitoring und Logging. Strategisch jedoch könnte der Vorfall zu einer differenzierten Cloud-Strategie bei den großen Anwenderunternehmen führen: Multi-Cloud wird definitiv eine Folge sein, sowie die Suche nach Open Source-Alternativen. Auch verstärkte verbandsseitige Forderungen nach Mindeststandards für Cloud-Systeme und Auditierungen werden kommen.

Was bleibt: das Restrisiko. Sowohl Cloud-Anwendungen wie IT-Systeme, die öffentlich erreichbar sind, sind vulnerabel. Die Anwenderunternehmen werden die Restrisiken durch Cloudnutzung noch differenzierter bewerten und handeln.

Verfasser: Dirk Michael Ockel