Was bisher Geschah 

Anfang Mai 2023 erlangte die Hackergruppe Storm-0558, durch die Nutzung eines Consumer Signing-Key, Zugang zu Daten und E-Mails von Unternehmen. Dies ist einem Kunden bei der Überprüfung der Protokolle aufgefallen und wurde Ende Juni von Microsoft unterbunden. Im Juli hat sich Microsoft zwar zu dem Vorfall geäußert, hielt sich jedoch bei den Ursachen, die dazu geführt haben, bedeckt. Jetzt sind weitere Informationen bekannt geworden.

Vorheriger Artikel: Autoren Christopher Siebertz & Reffat Gharaibeh Storm-0558 / Token Forgery (controlware.de)

Wie kam es nach den neuesten Erkenntnissen zum Vorfall?

Laut Microsoft war es eine unglückliche Verkettung von Umständen und Ereignissen. Microsofts Untersuchungen des Vorfalls ergaben, dass ein Ausfall des Signiersystems für Verbraucher im April 2021 zur Erstellung eines "Crash Dumps" des abstürzenden Prozesses führte. Obwohl diese Crash Dumps keine sensiblen Informationen enthalten sollten, wurde aufgrund einer "Race Condition" eine unbefugte Speicherung in den Logs vorgenommen. Auch durch die automatische Überprüfung der Logs durch Microsofts Systeme, konnte kein Schlüsselmaterial gefunden werden.

Daraufhin wurde der Crash Dump aus dem isolierten Produktionsnetzwerk in die Debugging-Umgebung von Microsoft verschoben, die mit dem Unternehmensnetzwerk verbunden ist und was dem Standardverfahren von Microsoft entspricht. Auch hier wurde keine Alarmierung durch die Prozesse zur Suche nach Anmeldeinformationen ausgelöst. Anschließend wurde laut Microsoft der Schlüssel von Storm-0558 über einen kompromittierten Microsoft Engineer Account abgegriffen, der Zugriff auf die Debugging-Umgebung und damit den Crash Dump hatte. Microsoft kann dies jedoch nicht bestätigen, da er aufgrund seiner Aufbewahrungsrichtlinien keine Protokolle dazu hat. Laut Microsoft scheint dies allerdings das plausibelste Szenario zu sein.

Warum ein Consumer-Schlüssel auf Unternehmens E-Mails zugreifen konnte

Um die wachsende Kundennachfrage nach Unterstützung von Anwendungen zu erfüllen, die sowohl mit Verbraucher- als auch mit Unternehmensanwendungen funktionieren, hat Microsoft im September 2018 einen gemeinsamen Endpunkt für die Veröffentlichung von Schlüsselmetadaten eingeführt. Ein Teil davon war die Aktualisierung der Dokumentation, die Klarheit über die Anforderungen zur „Key Scope Validation“ schuf – welcher Schlüssel für Verbraucher und welcher für Unternehmenskonten verwendet werden sollte. Microsoft hat eine API zur Verfügung gestellt, die bei der kryptografischen Validierung von Signaturen helfen soll. Allerdings versäumte es Microsoft, diese dahingehend zu aktualisieren, um die Validierung automatisch durchführen zu lassen. Infolgedessen haben die Entwickler fälschlicherweise angenommen, dass die Validierung durchgeführt wird, nachdem die E-Mail-Systeme auf den neuen Metadata-Endpunkt aktualisiert wurden, und haben daher keine weitere Validierung implementiert. Aus diesem Grund akzeptierte das E-Mail-System Anfragen für Unternehmens-E-Mails, die mit einem Verbraucherschlüssel signiert wurden.

Was ist die Sachlage zur Einschätzung der Auswirkungen??

Erste Zahlen zeigen, dass 60.000 E-Mails von 10 Accounts des US-Außenministeriums gestohlen wurden. Zusätzlich zu den E-Mails wurde auch eine Liste aller E-Mail-Adressen der US-Behörde abgefangen. Nach den heutigen Erkenntnissen und Aussagen von Microsoft sind 25 weitere Organisationen betroffen. Allerdings gibt es bislang keine belastbaren Informationen dazu. Die vom Angreifer fokussierten Ziele waren laut Microsoft, neben US-Amerikanischen, auch europäische Behörden. Da hier keine Zahlen und offiziellen Aussagen vorliegen, bleibt das gesamte Ausmaß des Angriffs weiterhin unklar.

Was wurde von Microsoft bisher unternommen, um sicherzustellen, dass alle Schwachstellen, die zum Incident geführt haben, beseitigt werden?

Am 26. Juni wurde OWA so konfiguriert, dass von der GetAccessTokensForResource-API ausgegebene Token nicht mehr zur Erneuerung akzeptiert werden, wodurch der Missbrauch von Token-Erneuerungen eingeschränkt wurde.
Am 27. Juni blockierte Microsoft die Verwendung von Token, die mit dem erworbenen MSA-Schlüssel signiert waren, um weitere Aktivitäten von Bedrohungsakteuren im E-Mail-Verkehr von Unternehmen zu verhindern.
Am 29. Juni tauschte Microsoft den Schlüssel vollständig aus, um zu verhindern, dass Bedrohungsakteure ihn weiterhin zum Fälschen von Token verwenden können. Darüber hinaus wurden alle MSA-Signaturen, die zum Zeitpunkt des Vorfalls gültig waren, einschließlich des von den Bedrohungsakteuren erworbenen MSA-Schlüssels, für ungültig erklärt.
Am 3. Juli sperrte Microsoft die Verwendung des Schlüssels für alle betroffenen Kunden, um die Verwendung bereits ausgegebener Token zu verhindern.

Es wurde eine Race Condition identifiziert, welche dazu führte, dass Schlüssel-Material im Crash Dump enthalten war. Diese wurde behoben.
Ein Mechanismus zur Erkennung und Verhinderung von Schlüsselmaterial in Crash Dumps wurde eingeführt.
Es wurden erweiterte Scan-Mechanismen und -Systeme implementiert, um Signatur-Keys in der Debug-Umgebung leichter zu identifizieren.
Es wurden erweiterte Bibliotheken und zugehörige Dokumentationen veröffentlicht, um eine Validierung in den Authentifizierungsprozessen zu erzwingen und zu automatisieren.