Microsoft-Schlüsselleck-Vorfall durch Storm-0558

Sep 14, 2023
Share

Microsoft gab bekannt Ein Angreifer nutzte gefälschte Authentifizierungstoken, um auf E-Mail-Konten von Regierungsbehörden und anderen Organisationen zuzugreifen. Er erlangte Zugriff auf Schlüssel, die versehentlich in einer Testumgebung zurückgelassen worden waren. Dadurch konnte er Token fälschen und sich Zugang zu E-Mail-Konten von Microsoft-Unternehmensnetzwerken verschaffen.

Obwohl Microsoft über eine hochgesicherte und isolierte Umgebung verfügte, in der die Schlüssel ursprünglich gespeichert waren, wurden diese schließlich in eine weniger sichere Umgebung verschoben. Dies geschah aufgrund mehrerer Fehler in den automatisierten Abläufen von Microsoft und nachfolgender Systemprüfungsfehler. Die Verschiebung der Schlüssel in eine weniger sichere Umgebung war niemals vorgesehen.

Fehlplatzierte Daten in weniger gut überwachten Umgebungen unterliegen möglicherweise weniger Kontrollen und sind einem höheren Risiko ausgesetzt. Der daraus resultierende Datenverstoß schädigte Microsofts Ruf nicht nur bei den Kunden, sondern führte auch zu … behördliche Überprüfung vom Cyber ​​Safety Review Board des US-Heimatschutzministeriums.

Was ist passiert?

Ab dem 15. Mai 2023 nutzte die in China ansässige Cyberkriminellengruppe Storm-0558 gefälschte Authentifizierungstoken, um auf E-Mail-Konten von rund 25 Organisationen, darunter auch Regierungsbehörden, zuzugreifen. Auch private Nutzerkonten dieser Organisationen wurden kompromittiert.

Der Vorfall begann im April 2021 mit einem Systemabsturz, der einen Speicherabbild des abgestürzten Prozesses erzeugte. Normalerweise werden sensible Daten, einschließlich Schlüssel, aus Speicherabbildern entfernt. Aufgrund einer Race Condition, einem Systemfehler, bei dem Operationen nicht in der korrekten Reihenfolge ausgeführt wurden, gelangten die Schlüssel jedoch in das Speicherabbild. Dieses Speicherabbild wurde anschließend aus einer gesicherten Produktionsumgebung in eine Testumgebung zur Fehlersuche verschoben. Später gelang es Storm-0558, das Firmenkonto eines Microsoft-Entwicklers zu kompromittieren, der Zugriff auf die Testumgebung mit dem Speicherabbild hatte.

Zum Zeitpunkt der Kompromittierung der E-Mail-Konten ermöglichten Microsoft-Mailsysteme den Zugriff auf Unternehmens-E-Mail-Konten mithilfe eines Sicherheitstokens, das mit einem Verbraucherschlüssel signiert war. Nachdem Storm-0558 diesen Verbrauchersignaturschlüssel erlangt hatte, nutzte es ihn, um Tokens zu fälschen. Anschließend verwendete der Angreifer diese Tokens, um auf Outlook Web Access (OWA) in Exchange Online und Outlook.com von Regierungsbehörden und anderen Zielen zuzugreifen.

Zum Zeitpunkt der Veröffentlichung dieses Artikels wurden die betroffenen Organisationen von Microsoft kontaktiert und über das weitere Vorgehen bei der Untersuchung und den Reaktionen informiert.

Wie Cyera zum Schutz geheimer Daten beiträgt

Im Folgenden wird verdeutlicht, wie die KI-gestützte Erkennung, Klassifizierung und Kontextanreicherung von Cyera diese Sicherheitslücke aufgedeckt und das Sicherheitsteam in die Lage versetzt hätte, einen solchen Angriff zu verhindern:

  • Erkennen und klassifizieren Sie vertrauliche Daten wie Schlüssel, Token und Passwörter in verschiedenen Dateiformaten. Vertrauliche Daten finden sich häufig in Formaten wie PGP, PEM, XLS, DOC, DOCX usw. Sie können aber auch in Momentaufnahmen erfasst werden, wie es beispielsweise beim Microsoft-Schlüsseldiebstahl der Fall war.
  • Scannen und Aufdecken geheimer Daten in verschiedenen Umgebungen
  • Unsachgemäße Speicherung geheimer Daten in einer weniger sicheren Nicht-Produktionsumgebung erkennen
  • Erkennen von Zugriffsrisiken, wenn vertrauliche Daten in einem Datenspeicher mit permissivem Zugriff verfügbar werden
  • Erkennung von Verschlüsselungsverletzungen, wenn geheime Daten im Klartext offengelegt werden
  • Weisen Sie den korrelierten Ereignissen einen Schweregradwert zu, basierend auf dem Risikograd und dem potenziellen Schadensausmaß.
  • Generieren Sie eine Warnmeldung, die die zuständigen Teams benachrichtigt und Arbeitsabläufe zur Behebung des Problems auslöst.
Diagramm zur Veranschaulichung, wie Storm-0558 einen Microsoft-Schlüssel ausnutzte, um auf Cloud-basierte E-Mail-Konten zuzugreifen.

Die Datensicherheitsplattform von Cyera bietet umfassenden Kontext zu Ihren Daten und wendet korrekte, kontinuierliche Kontrollen an, um Cybersicherheit und Compliance zu gewährleisten.

Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.

Um mehr darüber zu erfahren, wie Sie vertrauliche Daten schützen können, Demo vereinbaren Heute.

Share