Microsoft-Schlüsselverletzungsfall durch Storm-0558

Microsoft gab bekannt, dass ein Bedrohungsakteur gefälschte Authentifizierungstoken verwendet hat, um auf E-Mail-Konten von Regierungsbehörden und anderen Organisationen zuzugreifen. Der Bedrohungsakteur erlangte Zugriff auf Schlüssel, die versehentlich in einer weniger gesicherten Umgebung hinterlassen wurden, wodurch es ihm möglich war, Token zu fälschen und Zugang zu von Microsoft gehosteten Unternehmense-Mail-Konten zu erhalten.

Obwohl Microsoft über eine hochsichere und isolierte Umgebung verfügte, in der sich die Schlüssel ursprünglich befanden, wurden die Schlüssel schließlich in eine weniger sichere, niedrigere Umgebung verschoben. Dies geschah aufgrund einer Reihe von Fehlern in Microsofts automatisierten Abläufen und anschließenden Systemprüfungsfehlern. Die Schlüssel hätten niemals in eine niedrigere Umgebung verschoben werden dürfen.

Fehlplatzierte Daten in niedrigeren Umgebungen verfügen möglicherweise über weniger Kontrollen, geringere Überwachung und sind stärker exponiert. Der daraus resultierende Vorfall führte dazu, dass Microsoft nicht nur bei seinen Kunden einen beschädigten Ruf erlitt, sondern auch regulatorische Überprüfungen durch das Cyber Safety Review Board des US-Heimatschutzministeriums nach sich zog.

Was ist passiert? 

Ab dem 15. Mai 2023 nutzte ein in China ansässiger Bedrohungsakteur namens Storm-0558 gefälschte Authentifizierungstoken, um auf E-Mail-Konten von etwa 25 Organisationen zuzugreifen, darunter auch solche von Regierungsbehörden. Auch einzelne Privatkonten, die mit diesen Organisationen in Verbindung stehen, wurden kompromittiert.

Der Ausgangspunkt für den Vorfall lag im April 2021, als ein Absturz des Verbrauchersignatursystems einen Crash-Dump erzeugte – eine Momentaufnahme des abgestürzten Prozesses. Normalerweise werden sensible Daten, einschließlich Schlüssel, aus Crash-Dumps entfernt. Aufgrund einer Race Condition, also eines Maschinenfehlers, bei dem das System Operationen nicht in der richtigen Reihenfolge ausführt, wurden jedoch Schlüssel im Crash-Dump belassen. Der Crash-Dump wurde anschließend aus einer gesicherten Produktionsumgebung in eine niedrigere Umgebung zum Debuggen verschoben. Zu einem späteren Zeitpunkt kompromittierte Storm-0558 das Unternehmenskonto eines Microsoft-Ingenieurs, das Zugriff auf die niedrigere Umgebung mit dem Crash-Dump hatte.

Zum Zeitpunkt der Kompromittierung des E-Mail-Kontos erlaubten Microsoft-Mail-Systeme den Zugriff auf Unternehmenskonten mit einem Sicherheitstoken, das mit einem Consumer-Schlüssel signiert war. Nachdem Storm-0558 den Consumer-Signaturschlüssel erlangt hatte, nutzte die Gruppe diesen, um Tokens zu fälschen. Der Bedrohungsakteur verwendete diese Tokens anschließend, um auf Outlook Web Access in Exchange Online (OWA) und Outlook.com von Regierungsbehörden und anderen Zielen zuzugreifen.

Zum Zeitpunkt der Erstellung dieses Textes wurden betroffene Organisationen von Microsoft kontaktiert und mit Informationen zum weiteren Vorgehen bei der Untersuchung und Reaktion versorgt.

Wie Cyera dabei hilft, geheime Daten zu schützen

Die folgenden Punkte zeigen, wie Cyeras KI-gestützte Erkennung, Klassifizierung und kontextuelle Anreicherung diese Gefährdung erkannt und das Sicherheitsteam in die Lage versetzt hätte, einen solchen Angriff zu verhindern:

• Entdecken und klassifizieren Sie geheime Daten wie Schlüssel, Tokens und Passwörter in verschiedenen Dateiformaten. Geheime Daten finden sich häufig in einer Vielzahl von Datenformaten: pgp, pem, xls, doc, docx und mehr. Allerdings können geheime Daten auch in Snapshots erfasst werden, wie es beim Microsoft-Schlüsselvorfall geschehen ist.
• Scannen und Aufdecken von geheimen Daten in verschiedenen Umgebungen
• Erkennen Sie die unsachgemäße Speicherung von Geheimnisdaten in einer weniger sicheren, nicht produktiven Umgebung
• Erkennen Sie Zugriffsrisiken, wenn Geheimnisdaten in einem Datenspeicher mit großzügigen Zugriffsrechten verfügbar werden
• Erkennen Sie Verschlüsselungsverstöße, wenn geheime Daten im Klartext offengelegt werden
• Weisen Sie den korrelierten Ereignissen einen Schweregrad zu, basierend auf dem Risikoniveau und dem potenziellen Ausmaß der Schäden.
• Erzeuge eine Warnmeldung, benachrichtige die zugewiesenen Teams und starte Workflows, um das Problem zu beheben.

Cyera's Datensicherheitsplattform bietet umfassenden Kontext zu Ihren Daten und wendet die richtigen, kontinuierlichen Kontrollen an, um Cyber-Resilienz und Compliance zu gewährleisten.

Cyera verfolgt einen datenzentrierten Ansatz für Sicherheit, indem die Gefährdung Ihrer ruhenden und genutzten Daten bewertet und mehrere Verteidigungsschichten angewendet werden. Da Cyera tiefgehenden Datenkontext ganzheitlich über Ihre gesamte Datenlandschaft hinweg anwendet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, zu wissen, wo sich ihre Daten befinden, was sie Risiken aussetzt, und sofortige Maßnahmen zu ergreifen, um Gefährdungen zu beheben und die Einhaltung von Vorschriften sicherzustellen – ohne den Geschäftsbetrieb zu stören.

Erfahren Sie mehr darüber, wie Sie Geheimnisdaten schützen können, indem Sie noch heute eine Demo vereinbaren.