© Naked King, Getty Images

Microsoft und der Diebstahl des Master Keys: Was Sie wissen müssen

Zuletzt aktualisiert am 07. September 2023

In der Welt der digitalen Technologie und des Cloud-Computings sind Sicherheitsverletzungen und Hackingangriffe leider keine Seltenheit. Jüngst machte ein besonders brisanter Vorfall Schlagzeilen, der das Vertrauen in Microsoft und seine Azure-Cloud in Frage stellte.

Dabei geht es um den Diebstahl eines Master Keys, der möglicherweise weitreichende Auswirkungen auf die Sicherheit von Microsofts Cloud-Anwendungen hatte.

In diesem Blogbeitrag werfen wir einen genaueren Blick auf die Ereignisse rund um den Diebstahl des Master Keys und wie Microsoft darauf reagiert hat. 

Der Vorfall

Die Geschichte beginnt mit einem Hackingangriff aus China, bei dem eine Gruppe namens "Storm-0558" gefälschte Zugangs-Tokens für die Azure-Cloud verwendet hat. Diese Angriffe zielten nicht nur auf Privatpersonen, sondern vor allem auf Organisationen und sogar staatliche Einrichtungen.

Der Angriff begann im Mai 2023 und dauerte etwa einen Monat, bis eine US-Behörde Microsoft auf verdächtige Aktivitäten in ihren Online-Exchange-Konten aufmerksam machte. Damit hatte die Gruppe wochenlang Zugriff auf nahezu alle Daten bei Microsofts Clouddiensten. Aber was genau war das Ziel des Angriffs? 

Der gestohlene Schlüssel

Der Schockmoment kam, als sich herausstellte, dass die Hacker:innen nicht nur Zugang zu E-Mail-Konten erlangten, sondern auch einen äußerst mächtigen Master Key für große Teile der Microsoft-Cloud gestohlen hatten. Dieser Master Key ermöglichte der Gruppe potenziell den Zugriff auf andere Organisationen und Dienste innerhalb von Azure. Das genaue Ausmaß des Vorfalls blieb zunächst unklar, da Microsoft nur begrenzte Informationen veröffentlichte.

Expert:innen vom Sicherheitsunternehmen Wiz gelang es jedoch, den gestohlenen Microsoft Key zu identifizieren. Dieser Schlüssel war ein OpenID Signing Key für das Azure Active Directory (Azure AD). Mit diesem Schlüssel konnten die Angreifer:innen Zugangstoken für Benutzerkonten fast aller Microsoft-Cloud-Dienste erstellen. Dies beinhaltete nicht nur E-Mail-Konten, sondern auch Dienste wie Office, Sharepoint und Teams. Selbst Apps von Kund:innen, die "Login with Microsoft" unterstützten, könnten gefährdet gewesen sein. 

Potenzielle Folgen

Das ist äußerst besorgniserregend, da dies bedeutet, dass die Hacking-Gruppe potenziell Zugriff auf eine breite Palette von Anwendungen und Diensten hatte, die von zahlreichen Unternehmen und Organisationen genutzt werden. Selbst Unternehmen, die ihre eigenen Azure-AD-Instanzen und Cloud-Anwendungen betreiben, waren gefährdet, wenn sie "Login with Microsoft" anboten und anderen AAD-Instanzen vertrauten.

Die Reaktion von Microsoft

Microsoft reagierte entschlossen auf den Diebstahl des Master Keys. Sie blockierten die mit dem gestohlenen Schlüssel zertifizierten Token und ersetzten den Schlüssel. Dies soll weitere Zugriffe verhindern. Allerdings ist es durchaus möglich, dass die Angreifer:innen die betroffenen Accounts mit Hintertüren versehen haben. Microsoft versicherte den Kund:innen, die nicht kontaktiert wurden, dass sie höchstwahrscheinlich nicht betroffen seien.

Um sich vor ähnlichen Vorfällen zu schützen, hat Microsoft ein Playbook veröffentlicht, das Unternehmen bei der Identifizierung von Token-Diebstahl und ungewöhnlichen Aktivitäten in ihren Cloud-Umgebungen unterstützt.

Zusätzlich veröffentlichte Microsoft Sicherheitsupdates, um Kund:innen dabei zu helfen, die Validierung von Tokens in ihren individuellen Anwendungen zu verbessern. Diese Maßnahmen sollten die Sicherheit der Azure-Cloud weiter erhöhen.

Microsoft hat bisher nur begrenzte Informationen zu dem Vorfall veröffentlicht und den Zugang zu Log-Daten, die Hinweise auf Sicherheitsprobleme liefern könnten, nur gegen zusätzliche Kosten angeboten. Erst nach diesem Vorfall hat Microsoft angekündigt, den Zugang zu diesen Daten ohne zusätzliche Gebühren freizugeben. 

Die offenen Fragen

Trotz der Maßnahmen von Microsoft bleiben einige Fragen offen. Es gibt keine klaren Beweise dafür, dass die Hacking-Gruppe den gestohlenen Master Key über das hinausgehend genutzt haben, was Microsoft bisher eingeräumt hat. Dies könnte auf die begrenzten Informationen und den eingeschränkten Zugang zu Cloud-Dienst-Log-Daten zurückzuführen sein. Denn bis heute weigert Microsoft sich, die genauen Hintergründe, die tatsächlich betroffenen Produkte und die Konsequenzen offenzulegen.

Dazu, wie der Schlüssel überhaupt gestohlen werden konnte, hat Microsoft sich mittlerweile geäußert: Bei Untersuchungen ist nun herausgekommen, dass der Schlüssel vermutlich aus einem Crash-Dump stammt. Das sind Speicherbereiche, die in eine Datei geschrieben werden, falls eine Anwendung abstürzt. Laut Microsoft pflege es eine hochisolierte und gesicherte Produktionsumgebung. Dort lief das fragliche Consumer-Signing-System. Nach einem Absturz des Systems im April 2021 landete der Schlüssel durch eine Verkettung von Zufällen in besagtem Crash-Dump. Das will Microsoft jetzt beheben.

Obwohl der Schlüssel nicht mehr funktioniert, hätte die Hacking-Gruppe problemlos Hintertüren in den Cloud-Diensten anlegen können. Daher müsste jetzt eigentlich die gesamte Microsoft-Cloud auf derartige Hintertüren und mögliche kompromittierte Zugänge durchsucht werden. Doch niemand weiß so richtig, wie das funktionieren kann. Auch von Microsoft kommt hier nicht die benötigte Unterstützung.

Der Konzern hat aber angekündigt, die Sicherheitsmaßnahmen zu erhöhen. Die angekündigten Maßnahmen lassen aber auch erahnen, dass bisher einiges schieflief – vor allem in Bezug auf den Aufbewahrungsort und die Überwachungsmaßnahmen.

Es bleibt jedoch eine wichtige Lehre aus diesem Vorfall: Die Sicherheit in der digitalen Welt ist von entscheidender Bedeutung, und Unternehmen müssen ständig daran arbeiten, ihre Systeme zu schützen und auf mögliche Sicherheitsverletzungen vorbereitet zu sein. 

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Online-Formular wird hier erscheinen

Cloud-Strategien überdenken

Die Nutzung von Cloudlösungen hat zweifellos die Art und Weise, wie Unternehmen ihre Daten speichern und verwalten, revolutioniert. Doch trotz der vielen Vorteile, die die Cloud bietet, ist es wichtig, sich der Herausforderungen bewusst zu sein, die damit einhergehen können. In den USA haben Behörden in letzter Zeit ihre Cloudstrategien überdacht und überlegen genau, wo sie welche Daten in der Cloud ablegen sollten.

Dieser Schritt zeigt deutlich, wie wichtig es ist, eine gut durchdachte Cloudstrategie zu entwickeln. Es geht nicht nur darum, Daten in die Cloud zu verschieben, sondern auch darum, die richtige Cloudlösung für die eigenen Bedürfnisse zu wählen. Microsoft ist sicherlich eine beliebte Wahl, aber es gibt auch viele andere Anbieter, die unterschiedliche Ansätze verfolgen. Daher ist es entscheidend, die spezifischen Anforderungen und Ziele Ihres Unternehmens zu berücksichtigen, bevor Sie sich für eine Cloudlösung entscheiden. Sensibilisierung für Cloudlösungen bedeutet, die Vor- und Nachteile sorgfältig abzuwägen und eine Strategie zu entwickeln, die perfekt zu Ihren individuellen Anforderungen passt. 

Fazit

Der Diebstahl des Master Keys ist ein ernstzunehmender Vorfall, der die Sicherheit von Microsofts Cloud-Diensten in Frage stellt. Unternehmen sollten die Empfehlungen und Hilfestellungen von Microsoft nutzen, um ihre Cloud-Umgebungen zu schützen und sicherzustellen, dass sie nicht Opfer ähnlicher Angriffe werden.

Die genauen Auswirkungen dieses Vorfalls sind noch nicht vollständig geklärt, aber er verdeutlicht die Notwendigkeit eines stärkeren Fokus auf die Sicherheit und den Schutz von Unternehmensdaten in der Cloud.  

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Newsletter Anmeldung

Quellen

Diedrich, Oliver Dr. (2023): „Nach dem geklauten Master-Key für Azure: Hilfestellung von Microsoft“, heise online, 04. August 2023, https://www.heise.de/news/Nach-dem-geklauten-Master-Key-fuer-Azure-Hilfestellung-von-Microsoft-9234954.html, letzter Zugriff am 07. September 2023.

Holland, Martin (2023): „Hackerangriff aus China auf Dutzende Organisationen und auch Staaten“, heise online, 12. Juli 2023,https://www.heise.de/news/Hackerangriff-aus-China-auf-Dutzende-Organisationen-und-auch-Staaten-9213658.html, letzter Zugriff am 07. September 2023.

Schirmacher, Dennis (2023): „Sicherheitsupdates: Unbefugte Zugriffe auf TP-Link-Router möglich“, heise online, 07. September 2023, https://www.heise.de/news/Sicherheitsupdates-Unbefugte-Zugriffe-auf-TP-Link-Router-moeglich-9297306.html, letzter Zugriff am 08. September 2023.
Schirmacher, Dennis (2023): „Sicherheitsupdates: Angreifer können Kontrolle über Asus-Router erlangen“, heise online, 06. September 2023, https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-Kontrolle-ueber-Asus-Router-erlangen-9296210.html, letzter Zugriff am 08. September 2023. 

Schmidt, Jürgen (2023): „Gestohlener Cloud-Master-Key: Microsoft schweigt – so fragen Sie selbst“, heise online, 28. Juli 2023, https://www.heise.de/news/Gestohlener-Cloud-Master-Key-Microsoft-schweigt-so-fragen-Sie-selber-9229395.html, letzter Zugriff am 07. September 2023.

Schmidt, Jürgen (2023): „Microsofts gestohlener Schlüssel mächtiger als vermutet“, heise online, 24. Juli 2023, https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html, letzter Zugriff am 07. September 2023. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies