Am Mittwoch enthüllte Microsoft, dass die in China ansässige Bedrohungsgruppe Storm-0558 durch die Kompromittierung des Unternehmenskontos eines Ingenieurs Zugang zu einem inaktiven Verbraucherschlüssel für die Anmeldung erlangt hatte. Dies hat es dem Angreifer ermöglicht, die Sicherheitssysteme des Unternehmens zu umgehen und unberechtigten Zugang zu Microsoft Outlook zu erhalten.
Die Entdeckung der Sicherheitslücke
Laut dem Post-Mortem-Bericht des Microsoft Security Response Center (MSRC) kam es im April 2021 zu einem Absturz des Verbraucheranmeldesystems. Die Absturzdaten („Crash Dumps“), die eigentlich keine sensiblen Informationen enthalten sollten, enthielten aufgrund eines „race condition“ doch den betroffenen Anmeldeschlüssel. Microsofts Systeme hatten diese Anwesenheit des Schlüssels in den Crash-Daten nicht erkannt.
Der Angriffsmechanismus
Der Crash-Dump wurde in eine Debugging-Umgebung im internetverbundenen Firmennetzwerk verschoben. Von dort wird vermutet, dass Storm-0558 den Schlüssel erworben hat, nachdem das Unternehmenskonto des Ingenieurs infiltriert wurde. Wegen der Protokollierungsrichtlinien von Microsoft gibt es jedoch keine konkreten Beweise für die Exfiltration des Schlüssels.
Weitere Unklarheiten und Modus Operandi
Der Bericht von Microsoft deutet auf Spear-Phishing und den Einsatz von Token-stealender Malware hin, bietet jedoch keine weiteren Details darüber, wie das Unternehmenskonto des Ingenieurs ursprünglich kompromittiert wurde oder ob weitere Unternehmenskonten betroffen waren.
Zeitliche Einordnung
Laut Amitai Cohen, einem Sicherheitsforscher bei Wiz, fanden beide Ereignisse – der Transfer des Crash-Dumps und die Kompromittierung des Ingenieurskontos – irgendwann nach April 2021 statt. Dies würde bedeuten, dass die Bedrohungsakteure möglicherweise mehr als zwei Jahre im Besitz des Schlüssels waren, bevor der Vorfall im Juni 2023 entdeckt wurde.
Auswirkungen des Sicherheitsvorfalls
Microsoft merkte im Juli 2023 an, dass diese Bedrohungsgruppe seit mindestens August 2021 ein Interesse an OAuth-Anwendungen und Token-Diebstahl gezeigt hat. Storm-0558 wurde von Microsoft mit dem unberechtigten Zugriff auf ungefähr 25 Organisationen über Outlook Web Access (OWA) und Outlook.com in Verbindung gebracht.
Folgemaßnahmen und Absicherung
Nach der Entdeckung des Sicherheitsvorfalls hat Microsoft das Problem behoben, das den Anmeldeschlüssel fälschlicherweise als vertrauenswürdig einstufte. Darüber hinaus wurde der Zugang zu Sicherheitsprotokollen erweitert, nachdem Kritik geäußert wurde, dass diese Funktion nur für Kunden mit Purview Audit (Premium)-Lizenzen verfügbar war.
Fazit
Dieser Vorfall bietet Einblicke in eine Reihe von Sicherheitspannen, die letztlich dazu führten, dass ein hochqualifizierter Akteur mit „hohem technischen Können und betrieblicher Sicherheit“ den Anmeldeschlüssel erlangen konnte. Obwohl keine weiteren unbefugten Zugriffe auf andere Cloud-Dienste festgestellt wurden, wirft der Vorfall ernsthafte Fragen zur Sicherheit und zum Risikomanagement bei Microsoft und in der breiteren Technologieindustrie auf.