[English]Ist Microsoft und sein Umgang mit Sicherheitslücken in seinen Produkten inzwischen das „Cyberrisiko Nummer 1“? Der Hack der Microsoft Azure-Dienste durch die mutmaßlich chinesische Gruppe Storm-0558, ermöglicht durch einen gestohlenen privaten MSA-Schlüssel, scheint das Fass zum Überlaufen gebracht zu haben. US-Senatoren haben den Vorfall und den unverantwortlichen Umgang Microsofts mit dem Thema Sicherheit in einem geharnischten Brief an US-Institutionen auf den Tisch gebracht und fordern Untersuchungen bzw. Konsequenzen. Und von Denis Kipker, Professor für Sicherheit, habe ich die Tage ein Interview in der WiWo gelesen, dass es Zeit sei, sich endlich von der Microsoft Monokultur zu lösen, wenn Cybersicherheit gewährleistet werden soll.
GAU: Microsofts Azure Cloud-Hack
Der letzte Tropfen, der das Fass wohl zum Überlaufen gebracht hat, ist das Eindringen von Angreifern in Exchange Online- und outlook.com-Konten. Zuerst war nur bekannt geworden, dass der mutmaßlich in China angesiedelten Hackergruppe Storm-0558 ein Angriff auf die Microsoft Cloud gelungen war. Es hieß, im Juni 2023 sei es der Gruppe gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.
Brisanz erlangte das Ganze, weil Microsoft, gekleidet in viel Text, eingestehen musste, dass die Angreifer in den Besitz eines privaten (MSA)-Kundenschlüssels für Microsoft-Konten gelangten. Dieser MSA-Key konnte benutzt werden, um Sicherheitstoken zu generieren (fälschen). Aber diese Sicherheitstokens ließen sich nicht nur für private Microsoft-Konten (z.B. Outlook.com) einsetzen. Auf Grund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und ermöglichten den Zugriff auf Azure AD-Konten (inzwischen IntraID-Konten genannt).
Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt darüber berichtet. In einem Beitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln habe ich weitere Details, die von Microsoft in einem Folgebeitrag öffentlich gemacht wurden, berichtet. Noch mehr Brisanz bekam das Thema, als So richtig brisant wurde es, als Sicherheitsforscher von Wiz öffentlich gemacht haben, dass es sich bei dem kompromittierten Microsoft-Schlüssel um einen „Skelettschlüssel“ handelt, der für Microsofts MSA-Tenant in Azure genutzt werden kann. Das eröffnet nicht nur den Zugang zu outlook.com und Exchange Online, sondern ermöglichte auch Sicherheitstokens für Azure-Anwendungen zu generieren. Der daraus zu ziehende Schluss: Die gesamten Azure-Dienste samt Azure-Apps müssen seit diesem Vorfall als kompromittiert angesehen werden. Ich hatte diesen Sachverhalt im Blog-Beitrag GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten mit Details aufgegriffen. Die Angreifer waren mindestens seit Mai 2023 in der Microsoft-Cloud unterwegs.
US-Senatoren greifen Microsoft an
Daniela hatte mich bereits am Montag, den 31. Juli 2023 drauf hingewiesen, dass der obige Fall nicht so einfach sang- und klanglos unter dem Teppich verschwindet. Die Kollegen von Inside-IT aus der Schweiz haben ein geharnischtes Schreiben (PDF) von US-Senator Ron Wyden aufgegriffen, welches an Generalstaatsanwalt Merrick Garland, die Vorsitzende der Federal Trade Commission (FTC), Lina Khan, und die Direktorin der Cyberbehörde (CISA), Jen Easterly ging. Wyden wirft Microsoft einen fahrlässigen Umgang mit Sicherheitsfragen vor.
Haarsträubende Details des Sicherheitsvorfalls
Der US-Senator legt in seinem Brief einige dicke Klöpse offen, die mir so bisher noch nicht bekannt waren und von Microsoft auch nicht kommuniziert wurden. Selbst mit den wenigen Details, die bisher bekannt geworden sind, trage Microsoft eine erhebliche Verantwortung für diesen neuen Vorfall, heißt es im Brief. Hier eine Liste „des Schreckens“:
- Microsoft hätte niemals über einen einzigen „Generalschlüssel“ verfügen dürfen, der bei einem Diebstahl benutzt werden kann, um den Zugang zur privaten Kommunikation verschiedener Kunden durch gefälschte Tokens zu ermöglichen.
- Nach dem SolarWinds-Vorfall hatte Microsoft betont, wie wichtig die Speicherung solcher Schlüssel in einem Hochsicherheitsmodul (HSM) sei, um einen Diebstahl zu verhindern. Laut Brief wurde der private MSA-Schlüssel nach dem Vorfall in einen „gehärteten Schlüsselspeicher für Microsofts Unternehmenssysteme“ verschoben. Das werfe berechtigte Fragen nach der Zuverlässigkeit des Unternehmens auf und ob dieses seine eigenen Sicherheitsvorgaben einhält.
- Der bei obigem Hack verwendet MSA-Schlüssel wurde von Microsoft im Jahr 2016 erstellt und ist im Jahr 2021 abgelaufen. Es ist unglaublich und unerklärlich, dass dieser abgelaufene MSA-Key zur Generierung von Sicherheitstokens verwendet werden konnte (lässt auf den Code schließen, der zur Verifizierung benutzt wurde, und in dem Microsoft nun drei Schwachstellen geschlossen hat).
Im Brief schreibt Senator Wyden dann auch, dass Bundesrichtlinien zur Cybersicherheit, bewährte Praktiken der Branche und Microsofts eigene Empfehlungen an Kunden vorschreiben, dass solche Schlüssel häufiger erneuert werden müssen, weil sie kompromittiert werden könnten. Authentifizierungstoken, die mit einem abgelaufenen Schlüssel signiert werden, dürften niemals als gültig akzeptiert werden. Der Vorwurf des Senators: Die Microsoft-Ingenieure hätten niemals Systeme einrichten dürfen, die gegen solch grundlegende Grundsätze der Cybersicherheit verstoßen. Und die Sicherheitskultur bei Microsoft verhinderte, dass diese offensichtlichen Schwachstellen bei den internen und externen Sicherheitsprüfungen aufgefallen sind.
Götterdämmerung: Sicherheitsrisiko Microsoft
Die Tatsache, dass diese Schwachstellen nicht entdeckt wurden, wirft laut dem US-Senator, die Frage auf, welche anderen schwerwiegenden Cybersicherheitsmängel die Prüfer ebenfalls übersehen haben. Damit muss quasi die gesamte Microsoft Cloud prinzipiell als kompromittiert angesehen werden. Letztendlich müsste es jetzt heißen „wirf raus das Zeugs, der Anbieter ist nicht zuverlässig, weil er sich quasi den Zentralschlüssel mit Zugang zu Allem klauen lässt“.
US-Kongress befasst sich mit der Sache
Ergänzung: Gerade lese ich in diesem Beitrag, dass sich beide Kammern des US-Kongresses (Senat, Repräsentantenhaus) mit dem „E-Mail-Hack“ bei Microsoft befassen. Aufhänger ist der oben erwähnte Brief des US-Senators.
Monokulturen und Kartelldebatte
In die obige Sicherheitsfrage spielt auch das Thema „Monokultur Microsoft“ mit rein. Die IT hat sich weltweit von einem Hersteller abhängig gemacht, und jeder Fehler Microsoft reißt die Branche mit in den Abgrund. Aber Monokulturen sind auch aus wirtschaftlicher Sicht ein Problem und behindern den Wettbewerb. Kürzlich wurde ja bekannt, dass die EU-Kommission ein Wettbewerbsverfahren gegen Microsoft eröffnet hat (siehe EU-Kartellbeschwerde gegen Microsoft wegen Teams-Bündelung mit Office 365). Ein weiteres Verfahren ist auch beim Bundeskartellamt anhängig (siehe Microsoft im Fokus des Bundeskartellamts (28.3.2023)).
In diesem Kontext ist mir die Tage noch ein zweiter Artikel in der Wirtschaftswoche unter die Augen gekommen, der in obigem Tweet thematisiert wird. In einem Gastbeitrag geht Dennis-Kenji Kipker auf den Fall Microsoft ein und thematisiert die Monopolisierung als Risiko für Innovation und Cybersicherheit. Kipker ist Professor für IT-Sicherheitsrecht und im Umfeld von gesetzlichen Initiativen (Stichwort NIS2-Richtlinie zur Cybersicherheit) recht rührig. In dieser Rolle wird er auch schon mal vor Abgeordneten vorstellig, wenn es um Gesetze und Fragen zur Cybersicherheit geht. Seine Feststellung: Seit den 90er Jahren sei der Grundstein für eine Software-Monopolisierung in Europa und in den USA gelegt worden, da sich Regierungen und Behörden an Softwarelizenzen gebunden hätten, die nie mehr hinterfragt worden seien.
Die Fixierung auf Microsoft und dessen Produkte werde zur Gefahr, die bereits seit zwei Jahren immer deutlicher benannt werde. Ein „Weiter so“ kann es laut Kipker im Zuge der massiv gestiegenen Cyberbedrohung und der drastisch geänderten weltpolitischen Lage nicht mehr geben. Weiterhin führt er auch aus, dass die mangelnde Auswahl an Anbietern und der fehlende Wettbewerb insbesondere im öffentlichen Sektor nicht nur die Preise für digitale Dienstleistungen in die Höhe getrieben habe. Sondern das Ganze seit inzwischen zur Grundlage für eine ideale Angriffsfläche geworden. Kipker führt dann explizit den Angriff chinesischer Hacker auf die Microsoft Cloud an.
Kipker gibt an, dass in den letzten 5 Jahren 170 hochkritische Schwachstellen allein in Microsoft Exchange identifiziert wurden, die zu entsprechenden Problemen führten. Im Oktober 2022 gab es einen Sicherheitsbericht der US-Behörden CISA, NSA und FBI, der feststellt, dass 20 Prozent der größten Schwachstellen seit 2020 von der Volksrepublik China ausgenutzt wurden. Ein Großteil der Schwachstellen betraf die Systeme von Microsoft. Die Lösung: Aufbrechen dieser Monokulturen und Förderung von Innovation und Wettbewerb – eine Forderung, die auch hier im Blog häufiger erhoben wurde. Götterdämmerung bei Microsoft? Oder „der Elefant im Raum“, den jeder kennt, aber keiner laut benennen will?
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3
Ist wohl noch was offen…
http://blog.fefe.de/?ts=9a35b72f
Genau das Thema ist in Teil 2 aufgegriffen – ich laufe aktuell aber in das Problem, dass ich mit dem Schreiben kaum noch nachkommen, um alles aufzudecken, was bei Microsoft im Argen liegt – die sich sicherheitstechnisch aufgestellt wie ein Schweizer Käse – mit vielen Löcheln drinne.
„Aufdecken“ ist sicher das falsche Wort, dann hätten Sie die ganze Problematik ja auch entdeckt oder als erster veröffentlicht, aber „ausführlich zusammenfassen“ trifft es ganz gut.
Auf jeden Fall erschreckend, mal sehen, was sich daraus noch entwickelt.
Und nicht vergessen zu erwähnen, dass diese Schlamperei zwar in Logfiles zu erkennen gewesen wäre, diese Information von Microsoft den meisten Kunden aber nicht zur Verfügung gestellt wurde, sondern nur denen, die reichlich Kohle hatten für diese Logdaten extra zu zahlen. Und zwar nicht gerade wenig, wobei niemand den Preis zu wissen scheint.
We all live in a yellow submarine…
Bzgl. des „Generalschlüssels“ bin ich mir sicher, das der bei allen Cloudanbietern vorhanden ist.
Wenn man sein Zeugs in die Cloud auslagert, dann hat man die Kontrolle über seine Daten in fremde Hände gegeben.
Man kann nie sicher sein, das diese fremden Hände auch zuverlässig sind.
Z.B. ein Administrator dieser Clouddienste könnte ja Kundendaten abgreifen oder auch nur drin herumschnüffeln. Und wenn der geschickt ist, dann fällt das nicht einmal auf, weil er gleich die Protokolle mit manipuliert.
Bin mal gespannt, wann ähnliche Vorfälle bei anderen Cloudanbietern aufpoppen.
Evtl. gabs die ja schon, nur hat kein Kunde davon etwas gemerkt, weil die Protokollierung dieser Vorfälle von Kunden nicht einsehbar ist.
Man ist da ja noch nicht einmal sicher, wenn man seine Daten verschlüsselt hochlädt.
U.U. wird die Verschlüsselung aufgebrochen, wie z.B. bei Microsofts OneDrive.
Angeblich dient das dazu, festzustellen, ob die User nur „erlaubte“ Inhalte da hochgeladen haben.
Für mich sind Clouddienste absolut nicht vertrauenswürdig.
Insgesamt halte ich von der Cloud absolut gar nichts.
Nicht nur wegen der Sicherheitsproblematik und der Abhängigkeit vom Cloudanbieter, sondern auch z.B. wegen der Abhängigkeit vom Infrastrukturanbieter.
Gerade aufgepoppt:
https://www.t-online.de/digital/aktuelles/id_100218326/komplett-ausfall-im-allgaeu-ort-ist-seit-wochen-ohne-internet-telefon-fernsehen.html
Wenn man da mit seiner Firma sitzt und dann 6 Wochen lang keinen Cloudzugang hat, dann kann man den Laden von außen absperren, er ist dann pleite.
Da helfen dann auch keine Schadensersatzforderungen o.Ä. Die würden nur den Insolvenzverwalter befriedigen.
So einfach ist es nicht und du wirfst einiges durcheinander. Onedrive für Privatkunden ist nicht verschlüsselt, es sei denn du nutzt den „Tresor“ (Spezielles Verzeichnis das man sich freischalten kann). Allerdings anderherum, Firmen-Tenants in Azure sind sehr wohl verschlüsselt, auf die Inhalte von Firmen-Onedrive -OneNote -Sharepoint -Teams und -Teams … sollte eigentlich niemand zugreifen können, sofern die Verschlüsselung auch aktiviert wird, hier kommt eine Art Private/Public-Key-Verfahren zum Einsatz, wobei der Public-Key nicht wirklich öffentlich ist, sondern nur den Benutzern des Tenants bekannt sein sollte(!). Hier bin ich noch ein bischen am Straucheln – erlaubte der gestohlene MSA-Key auch den Zugriff auf verschlüsselte Daten oder nur auf die Metadaten „drumherum“ wie z.B. Usernamen, Mailadresssen (Sender/Empfänger), Kontakte, …?
Auf jeden Fall könnte sich dieses Thema tatsächlich zum „Knaller des Jahres“ entwickeln. Wird bestimmt interessant, wenn die Sommerferien rum sind.
Ich verwechsle da gar nichts.
Privatleute hatten auf ihre OneDrive-Speicher passwortgeschütze .ZIP hochgeladen.
Das Passwort wurde von Microsoft geknackt!
Bzw. wenn es nicht geknackt werden kann, werden solche Dateien von Microsoft gelöscht, da die Inhalte nicht geprüft werden können.
Bitte um entsprechende Evidenzen!
Mir wäre noch nie ein .Zip Archiv gelöscht worden trotz „sicherer“ Passwörter.
ZIP-Passwörter waren noch nie sicher und lassen sich durch Schädlinge auch lokal knacken. Ich schreib doch, du verwechselst was!
Ich glaube R.S. wollte etwas anderes ausdrücken.
Eigentlich hat ein Cloud Anbieter nichts in privaten Daten zu suchen (unabhängig von gelebter Praxis). Passwort geschützte Daten sollten für den eigenen Anbieter erst Recht tabu sein.
Andernfalls ist er nicht vertrauenswürdig.
Wieviel Vertrauen hat man wohl in eine Person, die zu Hause die Schränke durchstöbert ?
Auch das billigste Schloss ist hier ein Zeichen, dass jemand daran nichts zu suchen hat, auch wenn man es leicht umgehen kann.
Es ist sicher richtig, dass Private Daten in der Cloud zweifelhaft sind und dass ein ZIP Passwort keine Sicherheit bietet aber das ist in diesem Kontext eben ein anderes Thema.
Der Schlüssel zum Ganzen ist der Schlüssel. Ich hoffe, dass es ans Tageslicht kommt, wie/wo die Angreifer an diesen Schlüssel gekommen sind. Ich kann den Verdacht nicht abschütteln, dass der Schlüssel genau dafür gedacht war, wozu er verwendet wurde und dass er wie gedacht funktioniert hat. Nur eben in falschen Händen.
Der NSA Hauptschlüssel ;-p was gibts da noch lange nachzudenken, das pfeifen die Spatzen schon seit Jahren von den Dächern, das der existiert, nur beweisen konnte es bisher niemand… mal sehen was die Leute damit nun machen: unter den Tisch kehren wie nach Snowden? Oder endlich reagieren?
Der Schlüssel macht ganz genau das wozu er gedacht ist! Scheiße halt wenn man sich den klauen lässt ;-P
Alleine das er existiert sagt doch schon alles.
Aber heh alles VT, gehen sie weiter hier gibt es nichts zu sehen. Nur das es eben heute ne PräSnowden und ne PostSnowden Ära gibt, den Mob interessiert es aber eh nicht, die schlucken die Scheiße die man ihnen vorsetzt, brav wie es sich gehört.
„Microsoft hätte niemals über einen einzigen „Generalschlüssel“ verfügen dürfen, der bei einem Diebstahl benutzt werden kann, um den Zugang zur privaten Kommunikation verschiedener Kunden durch gefälschte Tokens zu ermöglichen.“
Gut, ich bin jetzt kein Experte in diesen Sachen, aber wenn Microsoft und auch andere Anbieter, den Inhalt in deren Cloud scannen (Kipo & Co.), dann werden sie so eine Art Universalschlüssel haben. Wie sollte es sonst dazu kommen, das „einigen“ in der Vergangenheit schon ihr Zugang gesperrt worden ist?
Medial gesehen kommt Microsoft sogar eigentlich sehr gut dabei weg. Im Grunde liest man davon nur im Internet. Im TV habe ich noch nichts in den Nachrichten gesehen.
Nur mal zur Erinnerung mein Halbwissen:
Die Daten z.B. auf der Platte werden mit einem sog. symmetrischen Verfahren verschlüsselt. Das geht sehr schnell und sehr schwer knackbar ob der großen Schlüssellänge und benutzt, wie der Name sagt, in beiden Richtungen mit diesem einen Schlüssel.
Es ist nur „etwas“ problematisch, dass man diesen Symmetrischen Schlüssel abspeichern und verteilen muß…
(Wer ein ZIP Archiv verschlüsselt hat, schickt das Passwort um den symmetrischen Schlüssel zu entschlüsseln ja nicht mit der selben Email mit, sondern übermitteln den per Brieftaube oder Telefon.
Bei tausenden von Dateien unpraktisch.
Dafür benutzt man das Public/Private-Key verfahren.
Der Publik Key kann/ darf /muß niemals geheim sein, weil er nur zum Verschlüsseln des obigen Symmetrischen Keys benutzt wird. Das verschlusseln ist langweilig.
Irgendwas verstehe ich an der der Sache mit dem geheimen Public Key nicht.
Den Symetrischen, riesigen Key kann man mit mehreren Publik Key verschlüsseln. So kann man soeichersparsam mehreren Personen den Zugriff auf die verschlüsselten Daten geben:
Man verschlüsselt aber nur den Sympathischen Key, der zwar groß ist, aber nur im Kilo Byte Bereich halt in X Versionen mit x Public Keys der x Personen. Das entschlüsseln mit dem Private Key ist mit Absicht extrem langsam gebaut. Es darf nicht schnell gehen weil man ja sonst den Schlüssel erraten hätte bevor unsere Sonne zum roten Riesen geworden ist.Daher benutzt man diesen Trick mit dem schnellen, aber trotzdem große symmetrischen Schlüssel.
Der Betreiber des Rechners könnte sich den symerlrischbe Key besorgen. Es ist ja sein Rechner, sein Speicher. seine CPU.
Damit das nicht passiert, wird der Symmetrische Key nur innerhalb des HSM ausgepackt (z.B. der Festplatten elektronik) und verwendet und niemals darf er das HSM verlassen. Es ist auch kein Weg vorgesehen.
Leider wird das immer wieder falsch verstanden, weil dieser Symmetrische Key für den Anwender unsichtbar bleibt.
Ich hoffe dass damit klar wird, warum es so eine Katastrophe ist, wenn die Schlüssel nicht in einem HSM gehalten werden, sondern im Normalen Speicher und der Cloud Nachbar auf diesen Speicher zugreifen kann.
Das bedeutet auch, das der Betreiber den Sympathischen Schlüssel mit seinem Generalschlüssel erzeugt haben muss.
Blöd wäre es, wenn man diese Kopie nicht wieder gewinnen könnte, nur weil der Public Key ausgelaufen ist.
Aber, bitte, hierzu möge sich ein Crypto Experte äußern.
Mir reicht dieses Bild allerdings für Wasserfälle auf dem Rücken.
HTH.
Was es mit dem geheimen Public Key aufsich hat interessiert mich sehr.