Wie ein Ingenieur-Konto die Tür für einen massiven Outlook-Hack für Storm-0558 öffnete

Sicherheit

Am Mittwoch enthüllte Microsoft, dass die in China ansässige Bedrohungsgruppe Storm-0558 durch die Kompromittierung des Unternehmenskontos eines Ingenieurs Zugang zu einem inaktiven Verbraucherschlüssel für die Anmeldung erlangt hatte. Dies hat es dem Angreifer ermöglicht, die Sicherheitssysteme des Unternehmens zu umgehen und unberechtigten Zugang zu Microsoft Outlook zu erhalten.

Die Entdeckung der Sicherheitslücke

Laut dem Post-Mortem-Bericht des Microsoft Security Response Center (MSRC) kam es im April 2021 zu einem Absturz des Verbraucheranmeldesystems. Die Absturzdaten („Crash Dumps“), die eigentlich keine sensiblen Informationen enthalten sollten, enthielten aufgrund eines „race condition“ doch den betroffenen Anmeldeschlüssel. Microsofts Systeme hatten diese Anwesenheit des Schlüssels in den Crash-Daten nicht erkannt.

Der Angriffsmechanismus

Der Crash-Dump wurde in eine Debugging-Umgebung im internetverbundenen Firmennetzwerk verschoben. Von dort wird vermutet, dass Storm-0558 den Schlüssel erworben hat, nachdem das Unternehmenskonto des Ingenieurs infiltriert wurde. Wegen der Protokollierungsrichtlinien von Microsoft gibt es jedoch keine konkreten Beweise für die Exfiltration des Schlüssels.

Weitere Unklarheiten und Modus Operandi

Der Bericht von Microsoft deutet auf Spear-Phishing und den Einsatz von Token-stealender Malware hin, bietet jedoch keine weiteren Details darüber, wie das Unternehmenskonto des Ingenieurs ursprünglich kompromittiert wurde oder ob weitere Unternehmenskonten betroffen waren.

Zeitliche Einordnung

Laut Amitai Cohen, einem Sicherheitsforscher bei Wiz, fanden beide Ereignisse – der Transfer des Crash-Dumps und die Kompromittierung des Ingenieurskontos – irgendwann nach April 2021 statt. Dies würde bedeuten, dass die Bedrohungsakteure möglicherweise mehr als zwei Jahre im Besitz des Schlüssels waren, bevor der Vorfall im Juni 2023 entdeckt wurde.

Auswirkungen des Sicherheitsvorfalls

Microsoft merkte im Juli 2023 an, dass diese Bedrohungsgruppe seit mindestens August 2021 ein Interesse an OAuth-Anwendungen und Token-Diebstahl gezeigt hat. Storm-0558 wurde von Microsoft mit dem unberechtigten Zugriff auf ungefähr 25 Organisationen über Outlook Web Access (OWA) und Outlook.com in Verbindung gebracht.

Folgemaßnahmen und Absicherung

Nach der Entdeckung des Sicherheitsvorfalls hat Microsoft das Problem behoben, das den Anmeldeschlüssel fälschlicherweise als vertrauenswürdig einstufte. Darüber hinaus wurde der Zugang zu Sicherheitsprotokollen erweitert, nachdem Kritik geäußert wurde, dass diese Funktion nur für Kunden mit Purview Audit (Premium)-Lizenzen verfügbar war.

Fazit

Dieser Vorfall bietet Einblicke in eine Reihe von Sicherheitspannen, die letztlich dazu führten, dass ein hochqualifizierter Akteur mit „hohem technischen Können und betrieblicher Sicherheit“ den Anmeldeschlüssel erlangen konnte. Obwohl keine weiteren unbefugten Zugriffe auf andere Cloud-Dienste festgestellt wurden, wirft der Vorfall ernsthafte Fragen zur Sicherheit und zum Risikomanagement bei Microsoft und in der breiteren Technologieindustrie auf.

-

Vorheriger Artikel Nächster Artikel

Hat Ihnen der Beitrag gefallen?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Keine Bewertung vorhanden)
Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.