Im Juni 2023 gelang es einer mutmaßlich in China ansässigen Hackergruppe, die von Microsoft als Storm-0558 bezeichnet wurde, Zugriff auf E-Mail-Konten in der Microsoft Cloud zu erlangen. Dies betraf etwa 25 Organisationen, darunter Regierungsbehörden wie das US-Außenministerium, sowie entsprechende Privatkonten von Personen, die möglicherweise mit diesen Organisationen in Verbindung standen.
Die Angreifer erlangten Zugriff auf die Konten, indem sie im Besitz eines privaten (MSA)-Kundenschlüssels für Microsoft-Konten waren. Dieser MSA-Key ermöglichte es ihnen, gefälschte Sicherheitstokens zu generieren. Allerdings konnten diese Sicherheitstokens nicht nur für private Microsoft-Konten (z.B. Outlook.com) verwendet werden. Aufgrund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und ermöglichten den Zugriff auf Azure AD-Konten (Azure Active Directory). Der gestohlene Microsoft-Signaturschlüssel ermöglichte den Bedrohungsakteuren potenziell, Zugriffstoken für ALLE persönlichen Microsoft-Kontodienste und Anwendungen im Azure Active Directory (AAD) zu fälschen. Microsoft hat den kompromittierten Schlüssel gesperrt, um weitere Zugriffe zu verhindern, aber es ist nicht sicher, ob die Angreifer vorher bereits Zugriff auf die betroffenen Konten hatten und möglicherweise Hintertüren in die Microsoft-Cloud eingeführt haben. Die Bedrohung wurde als schwerwiegender Sicherheitsvorfall betrachtet, der Transparenz und Offenlegung aller Informationen von Microsoft erfordert, um mögliche unautorisierte Zugriffe zu überprüfen. Kunden wurden aufgefordert, von Microsoft mehr Unterstützung und Informationen zu verlangen, und es wurde erwogen, alternative Cloud-Anbieter in Betracht zu ziehen, wenn Microsoft nicht ausreichend reagierte.
Die Lessons Learned aus diesem Vorfall sind vielfältig und betreffen sowohl Microsoft als auch Unternehmen, die Cloud-Dienste nutzen:
| Stärkung der Sicherheitsmaßnahmen | Cloud-Anbieter wie Microsoft müssen ihre Sicherheitsmaßnahmen kontinuierlich verbessern und angemessen auf potenzielle Bedrohungen reagieren. Ein gestohlener Schlüssel sollte nicht derart weitreichende Zugriffsmöglichkeiten bieten. |
| Transparenz und Offenlegung | Cloud-Anbieter müssen im Falle eines Sicherheitsvorfalls transparent sein und umfassende Informationen über das Ausmaß des Angriffs, die betroffenen Dienste und die ergriffenen Gegenmaßnahmen bereitstellen. |
| Strenge Validierung von Tokens | Die Validierung von Zugriffstokens muss bei allen Cloud-Diensten streng durchgeführt werden, um sicherzustellen, dass gefälschte Tokens nicht akzeptiert werden. |
| Überwachung und Analyse von Log-Daten | Unternehmen sollten ihre Cloud-Dienste aktiv überwachen und Log-Daten analysieren, um verdächtige Aktivitäten frühzeitig zu erkennen und darauf angemessen zu reagieren. Unternehmen die SAP Anwendungen in der Cloud, wie z.B. Azure betreiben, sollten unbedingt eine Alarmanlage wie SAP ETD installieren. |
| Multi-Faktor-Authentifizierung | Die Implementierung von Multi-Faktor-Authentifizierung kann die Sicherheit von Cloud-Konten erheblich erhöhen, da Angreifer zusätzliche Hürden überwinden müssen, um Zugriff zu erlangen. |
| Risikobewertung und Compliance | Unternehmen sollten regelmäßig ihre Cloud-Infrastruktur auf Sicherheitsrisiken und Compliance-Anforderungen überprüfen und entsprechende Maßnahmen ergreifen, um diese zu erfüllen. |
| Kommunikation und Zusammenarbeit | Im Falle eines Sicherheitsvorfalls sollten Cloud-Anbieter eng mit ihren Kunden zusammenarbeiten, um sie über die Situation zu informieren und bei der Behebung von Problemen zu unterstützen. |
| Diversifizierung von Cloud-Anbietern | Unternehmen könnten in Erwägung ziehen, ihre Cloud-Infrastruktur bei verschiedenen Anbietern zu hosten, um das Risiko eines umfassenden Ausfalls durch einen einzigen Vorfall zu reduzieren. |
| Sensibilisierung der Mitarbeiter | Mitarbeiter sollten für Phishing-Angriffe und andere Social Engineering-Methoden sensibilisiert werden, um die Wahrscheinlichkeit von erfolgreichen Angriffen zu verringern. |
| Sicherheitsaudits und Penetrationstests | Regelmäßige Sicherheitsaudits und Penetrationstests können dazu beitragen, Schwachstellen frühzeitig zu erkennen und zu beheben, bevor Angreifer sie ausnutzen können. |
Der Vorfall bei Microsoft hebt die Bedeutung von Logging-Daten für die schnelle Erkennung und Eindämmung von Cyber-Intrusionen hervor. Er vergleicht das Prinzip der rechtzeitigen Erkennung von Eindringlingen in einem physischen Haus mit der Notwendigkeit, Cyber-Angriffe in einem Netzwerk frühzeitig zu erkennen, um Schäden zu begrenzen. Dabei wird auf einen kürzlich aufgetretenen schwerwiegende Sicherheitsbedrohung hingewiesen, bei dem die US Regierung betroffen war und durch den Zugriff auf wichtige Logging-Daten verdächtige Aktivitäten schnell erkannt und Gegenmaßnahmen ergriffen werden konnten. Microsoft kündigt an, wichtige Logging-Daten, die von CISA und anderen Partnern als entscheidend für die Identifizierung von Cyber-Angriffen identifiziert wurden, Kunden ohne zusätzliche Kosten zur Verfügung zu stellen. Dieser Schritt wird als Verbesserung der Cyberabwehr und des Incident Response für alle Microsoft-Kunden betrachtet. Es ist zu betonen, dass das Bereitstellen von Logging-Daten ohne zusätzliche Kosten ein wichtiger Schritt hin zu sicherer Technologie ist und die Sicherheit der Organisationen, Unternehmen und des Länderverwaltungen vorantreibt. CISA und Microsoft haben in den letzten Monaten zusammengearbeitet, um wichtige Logging-Aktivitäten in ihre Angebote aufzunehmen. Es wird betont, dass weiterhin daran gearbeitet wird, dass alle Technologiehersteller Secure-by-Design-Prinzipien annehmen, einschließlich der Bereitstellung der erforderlichen Sicherheitsdaten und starker Standardkontrollen.
- Aufgerufen am 25.07.2023: https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
- Aufgerufen am 25.07.2023: https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html
- Aufgerufen am 25.07.2023: https://www.watson.ch/digital/analyse/831262886-microsoft-war-zu-gierig-bei-der-cybersicherheit-und-lenkt-nun-ein
- Aufgerufen am 25.07.2023: https://www.cisa.gov/news-events/news/when-tech-vendors-make-important-logging-info-available-free-everyone-wins
- Aufgerufen am 25.07.2023: https://www.microsoft.com/en-us/security/blog/2023/07/19/expanding-cloud-logging-to-give-customers-deeper-security-visibility/