In einem beunruhigenden Vorfall hat Microsoft enthüllt, dass chinesische Hacker einen Signierungsschlüssel gestohlen haben, den sie verwendet haben, um Regierungs-E-Mail-Konten zu kompromittieren. Der Diebstahl ereignete sich aus einem Windows-Absturzdump, nachdem die Angreifer zuvor das Unternehmenskonto eines Microsoft-Ingenieurs übernommen hatten.

Die gestohlene Microsoft-Signatur (MSA) wurde verwendet, um in die Exchange Online- und Azure Active Directory (AD)-Konten von rund zwei Dutzend Organisationen einzubrechen, darunter US-Regierungsbehörden wie das US-Außen- und Handelsministerium.

Die Angreifer nutzten eine mittlerweile behobene Zero-Day-Validierungsproblematik im GetAccessTokenForResourceAPI aus, wodurch sie signierte Zugriffstoken fälschen und Konten innerhalb der gezielten Organisationen übernehmen konnten.

Tauchen in Windows-Absturzdump Bei der Untersuchung des Angriffs durch Storm-0558 stellte Microsoft fest, dass der MSA-Schlüssel in einen Absturzdump gelangt war, nachdem ein Verbraucher-Signiersystem im April 2021 abgestürzt war.

Obwohl der Absturzdump eigentlich keine Signierungsschlüssel enthalten sollte, führte eine Art Wettlaufbedingung dazu, dass der Schlüssel hinzugefügt wurde. Dieser Absturzdump wurde später aus dem isolierten Produktionsnetzwerk des Unternehmens in seine internetverbundene Debugging-Umgebung verschoben.

Die Angreifer fanden den Schlüssel, nachdem sie das Unternehmenskonto eines Microsoft-Ingenieurs erfolgreich übernommen hatten, das Zugriff auf die Debugging-Umgebung hatte, in der der Schlüssel fälschlicherweise im Absturzdump vom April 2021 enthalten war.

„Aufgrund der Protokollaufbewahrungspolicies verfügen wir nicht über Protokolle mit konkreten Beweisen für diese Exfiltration durch diesen Akteur, aber dies war der wahrscheinlichste Mechanismus, durch den der Akteur den Schlüssel erworben hat“, enthüllte Microsoft heute.

„Unsere Methoden zur Überprüfung von Anmeldeinformationen haben seine Anwesenheit nicht erkannt (dieses Problem wurde behoben).“

Weitreichender Zugang zu Microsoft-Cloud-Diensten Obwohl Microsoft bei der Bekanntgabe des Vorfalls im Juli behauptete, dass nur Exchange Online und Outlook betroffen waren, stellte der Wiz-Sicherheitsforscher Shir Tamari später fest, dass der kompromittierte Microsoft-Verbraucher-Signierungsschlüssel Storm-0558 weitreichenden Zugang zu Microsoft-Cloud-Diensten ermöglichte.

Wie Tamari erklärte, konnte der Schlüssel verwendet werden, um jedes Konto innerhalb jeder betroffenen Kunden- oder cloudbasierten Microsoft-Anwendung zu imitieren.

„Dazu gehören verwaltete Microsoft-Anwendungen wie Outlook, SharePoint, OneDrive und Teams sowie Anwendungen der Kunden, die die ‚Anmeldung mit Microsoft‘-Funktion unterstützen“, sagte Tamari.

„Alles in der Welt von Microsoft nutzt Azure Active Directory-Authentifizierungstoken für den Zugang“, sagte auch Ami Luttwak, CTO und Mitbegründer von Wiz, gegenüber BleepingComputer.

„Ein Angreifer mit einem AAD-Signierungsschlüssel ist der mächtigste Angreifer, den man sich vorstellen kann, da er fast auf jede App zugreifen kann – als jeder Benutzer. Dies ist die ultimative ‚Formwandler‘-Superkraft für Cyber-Intelligenz.“

„Das alte öffentliche Schlüsselzertifikat zeigte, dass es am 5. April 2016 ausgestellt wurde und am 4. April 2021 abgelaufen ist“, fügte Tamari hinzu.

Redmond erklärte später gegenüber BleepingComputer, dass der kompromittierte Schlüssel nur dazu verwendet werden konnte, Apps anzugreifen, die persönliche Konten akzeptierten und bei denen der Validierungsfehler von den chinesischen Hackern ausgenutzt wurde.

Als Reaktion auf den Sicherheitsvorfall hat Microsoft alle gültigen MSA-Signierungsschlüssel widerrufen, um zu verhindern, dass Bedrohungsakteure auf weitere kompromittierte Schlüssel zugreifen. Dieser Schritt blockierte auch wirksam alle zusätzlichen Versuche, neue Zugriffstoken zu generieren. Darüber hinaus hat Microsoft die kürzlich generierten Zugriffstoken in den Schlüsselspeicher seiner Unternehmenssysteme verschoben.

Nach dem Widerrufen des gestohlenen Signierungsschlüssels fand Microsoft keine weiteren Hinweise auf unbefugten Zugriff auf Kundenkonten, bei denen dieselbe Authentifizierungstoken-Fälschungstechnik angewendet wurde.

Auf Druck der Cybersecurity and Infrastructure Security Agency (CISA) stimmte Microsoft zu, den kostenlosen Zugang zu Cloud-Protokolldaten zu erweitern, um Netzwerkverteidigern zu helfen, ähnliche Angriffsversuche in Zukunft zu erkennen.

Zuvor waren solche Protokollfunktionen nur für Kunden mit Premium-Protokollierungslizenzen für Purview Audit verfügbar. Aufgrund dieser Entscheidung sah sich Redmond erheblicher Kritik ausgesetzt, Organisationen daran gehindert zu haben, Storm-0558-Angriffe schnell zu erkennen.