[English]Der Hack von Microsofts Azure-Cloud durch die mutmaßlich chinesische Gruppe Storm-0558 von Mai bis Juni 2023, ermöglicht durch einen gestohlenen privaten MSA-Schlüssel und Bugs hat wohl eine Menge E-Mail-Konten betroffen. Von Microsoft hieß es, dass nur wenige Konten von 25 Kunden betroffen waren. Nun wurde bekannt, dass die Angreifer mindestens 60.000 E-Mails von Outlook-Konten des des US-Außenministeriums gestohlen haben.
Rückblick: Storm-0558 Cloud-Hack
Im Juli 2023 wurde bekannt, dass es einer von Microsoft Storm-0558 genannten chinesischen Hackergruppe gelungen war, Zugang zu den in der Microsoft Cloud (Exchange Online, outlook.com) gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.
Die Angreifer waren im Besitz eines privaten (MSA)-Kundenschlüssels für Microsoft-Konten, und konnten diesen MSA-Key benutzen, um gefakte Sicherheitstoken (für OWA) zu generieren. Diese Sicherheitstokens ließen sich auf Grund eines Verifizierungsbugs sowohl für Zugriffe auf private Microsoft-Konten (z.B. outlook.com) als auch für Zugriffe auf Azure AD-Konten und wohl auch Azure-Apps missbrauchen.
Microsoft hatte das offiziell eingestanden, spielte aber den Vorfall herunter – ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt erstmals darüber berichtet. Das Ganze entwickelte sich dann zu einem veritablen Sicherheits-GAU, denn die Angreifer tummelten sich beispielsweise seit Mai 2023 unerkannt in den Systemen. Erst als ein Kunde ungewöhnliche Aktivitäten bemerkte, flog der Hack auf.
Sicherheitsforscher von Wiz gaben an, dass eigentlich die gesamte Microsoft Cloud-Infrastruktur als potentiell kompromittiert angesehen werden müsste. Die gesamte Entwicklung ist in zahlreichen Blog-Beiträgen nachgezeichnet worden, die am Artikelende verlinkt sind.
E-Mails des US-Außenministeriums abgegriffen
Nun berichtet die Nachrichtenagentur Reuters in nachfolgendem Tweet, der auf diesen Artikel verweist, weitere Details zu diesem Hack. Die chinesischen Hacker der Storm-0558-Gruppe haben nach Angaben eines Senatsmitarbeiters (oder einer Mitarbeiterin) 60.000 E-Mails des US-Außenministeriums bei diesem Microsoft Cloud-Hack gestohlen.
Die Person arbeitet für den US Senator Eric Schmitt und nahm an einem Briefing durch IT-Mitarbeiter des US-Außenministeriums teil. Laut dieser Person wurden beim Storm-0558-Hack mindestens 60.000 E-Mails von 10 Konten des Außenministeriums abgezogen. Neun dieser Opfer arbeiteten in Ostasien und im Pazifik und eines in Europa heißt es bei Reuters. Diese Details gehen aus einer E-Mail hervor, die die nicht namentlich genannt werden wollende Person wohl an Reuters geschickt hat.
Es heißt, dass die Personen im US-Außenministerium, deren E-Mail-Konten kompromittiert wurden, sich hauptsächlich auf die diplomatischen Aktivitäten im indo-pazifischen Raum konzentrierten. Die Angreifer erlangten beim Angriff auch eine Liste mit allen E-Mail-Adressen US-Außenministeriums, heißt es in der Mitteilung vom Mittwoch.
Der Cloud-Hack hat die Aufmerksamkeit erneut auf Microsofts überragende Rolle bei der Bereitstellung von IT-Diensten für die US-Regierung gelenkt, schreibt Reuters. Das US-Außenministerium habe damit begonnen, auf „hybride“ Umgebungen mit mehreren Anbietern umzusteigen und die Einführung der Multi-Faktor-Authentifizierung als Teil der Maßnahmen zum Schutz seiner Systeme zu verbessern. Das hätten die IT-Mitarbeiter des US-Außenministeriums laut der Reuters-Quelle im Briefing erklärt.
Weder von Microsoft noch vom US-Senat hat Reuters Antworten oder Bestätigungen auf seine Anfrage bezüglich des Sachverhalts erhalten. Es sieht für mich aber so aus, als ob der Stern der „Microsoft Azure Cloud über alles“ dann doch etwas an Glanz verloren hat.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2
Na dann ist ja alles gut. Ein, in Relation zu den Möglichkeiten, sehr kleiner und begrenzter Impact. Dann war der Hauptzweck vielleicht weniger das Kompromat Sammeln?
Na ja, das hier ist nur das, was bekannt geworden ist…
DiaDritte nun drin sind, können die nun in aller Ruhe Daten abziehen aus dem MS Cloud Honigtopfs. Für Kriegsvorbereitungen sind solche relevanten Mails in der Cloud sicherlich von Vorteil. Ich denke die USA haben den Cyberwar dank M$ bereits gegen Rußland wie China verloren.
Man muß sich aber auch fragen, wer die US-Behörden geritten hat, ihren Kram in die Cloud auszulagern.
Regierungssachen sind hochsensible Daten, die gehören grundsätzlich nicht in die Cloud, sondern in Hochsicherheitsumgebungen.
„Regierungssachen sind hochsensible Daten, die gehören grundsätzlich nicht in die Cloud, sondern in Hochsicherheitsumgebungen.“
Es gibt immer noch genügend Entscheider in beliebig hohen Positionen, die die Cloud für eine Hochsicherheitsumgebung halten, solange etwas ähnlich Klingendes in den Verträgen oder auch nur in Werbebroschüren steht.