Der Microsoft-Cloud-GAU – wenn der Einbrecher einen Generalschlüssel hat

Die Aufarbeitung eines Sicherheitsvorfalls in der Microsoft-Cloud zeigt Mängel und dringenden Nachholbedarf – sowohl bei der Absicherung von Microsofts Cloud-Diensten als auch in der Kommunikation gegenüber Kunden und Öffentlichkeit. Was ist passiert?

• Angreifer hatten einen Schlüssel erbeutet, der nicht hätte in Umlauf gelangen dürfen. Es ist unklar, warum dieser als Generalschlüssel dienen konnte.
• Es bestand Zugriff auf Daten von Kunden, die Microsoft 365-Dienste nutzen. Hierzu zählten offensichtlich auch Regierungsorganisationen.
• Der Vorfall ist nicht Microsoft selbst aufgefallen, ein Kunde hat in Protokollen seltsame Muster gefunden und Microsoft informiert.
• Vermutlich hätten viele Microsoft-Kunden den Vorfall nicht erkennen können, denn den Zugriff auf die dazu notwendigen Protokolldaten ließ sich Microsoft bisher teuer bezahlen. Viele Kunden werten derartige Protokolle nicht aus.
• Microsoft hat die Ereignisse zunächst als weniger gravierend dargestellt und geht nicht gerade transparent mit den Vorkommnissen und der Aufarbeitung um.

Ein kurzer Abriss der Ereignisse

Mitte Juni dieses Jahres entdeckten Mitarbeitende einer US-Regierungsbehörde verdächtige Zugriffe auf ihre Exchange-Online-Konten und schalteten die US Cybersecurity and Infrastructure Security Agency (CISA) und die Microsoft-Security-Abteilung ein. Diese stellten fest, dass die für die Zugriffe genutzten Authentifizierungstoken mit einem Microsoft-Kontosignaturschlüssel (MSA Signing Key) signiert waren, den Microsoft gar nicht mehr im eigenen Identity Provider (IDP) nutzte – die Token waren also gefälscht worden.

Nun wird es technisch: Den Azure-AD-Private-Key, mit dem sie signiert waren, hatten Angreifer „akquiriert“. Eigentlich sollte dieser auch nur bei Privatkundenkonten funktionieren, durch einen „Validierungsfehler“ ließen sich damit aber auch Token für Organisationskonten erfolgreich signieren. Laut Microsoft war es den mutmaßlich chinesischen Angreifern mithin möglich, vollständigen Zugang zu E-Mail-Konten von etwa 25 Organisationen zu erlangen.

Am 11. Juli 2023 erklärte Microsoft dann die Probleme für gelöst – der kompromittierte Schlüssel sei widerrufen, die Fehler im Azure-Programmcode behoben und alle Betroffenen benachrichtigt worden.¹ Es wurde kurzfristig ein „Token Theft Playbook“² veröffentlicht, das die Schritte zur Untersuchung im eigenen Tenant beschreibt und Tipps für eine verbesserte Absicherung gibt. Entsprechende Schritte kommen der Suche nach einer Nadel im Heuhaufen gleich.

Außerdem stellt Microsoft zukünftig die erweiterten Log-Dateien ohne Zusatzkosten bereit, um das Entdecken solcher Angriffe zu erleichtern – wohl auf Drängen der CISA, die auch einen eigenen Bericht zum Vorfall veröffentlicht hat.³

Schlimmer als zunächst gedacht

Wenig später stellte das Sicherheitsunternehmens Wiz nach Analyse des Sicherheitsschlüssels fest, dass erheblich mehr Anwendungen betroffen seien – nämlich alle, die eine persönliche Kontoauthentifizierung erfordern. Das sind unter anderem Office 365, SharePoint, OneDrive, Outlook, Teams und sogar Drittanwendungen, die die Funktionalität „Login-with Microsoft“ nutzen.⁴

Und es war zwischenzeitlich durchaus möglich, in die betroffenen Accounts Hintertüren einzubauen – und das ist fast die komplette Microsoft-Cloud. Eigentlich müsste man jetzt also jedes einzelne Microsoft- und Azure-AD-Konto auf unautorisierte Aktivitäten hin überprüfen – bei etlichen Millionen Accounts kaum möglich.

Das Grundproblem

Es zeigt sich, dass die Annahme, Datenverarbeitung in der Cloud sei grundsätzlich sicherer als On Premise, zu kurz gedacht ist. Denn die Cloud ist in weiten Teilen eine „Black Box“ – der Kunde muss darauf vertrauen, dass der Anbieter sich um die Absicherung kümmert und sauber programmiert. Mussten bei On-Premise-Lösungen Schwachstellen durch Verteilung von Updates und Patches geschlossen und somit implizit öffentlich gemacht werden, erfährt man in der Cloud oft nur davon, wenn Dritte darauf aufmerksam machen.

Was kann man tun?

Auch wenn Microsoft beteuert, die Krise sei ausgestanden, bleiben Fragen und Risiken bestehen. Wir empfehlen die folgenden Schritte:

• Gehen Sie das „Token Theft Playbook“ von Microsoft durch und beschäftigen Sie sich aktiv mit der Absicherung Ihres Tenants.
• Erstellen Sie ein Backup Ihrer Daten außerhalb der Cloud und prüfen Sie regelmäßig, ob diese wiederherstellbar sind.
• Analysieren Sie Ihre Daten und klassifizieren Sie sie nach Sensibilität – ermitteln Sie auf dieser Basis den individuellen Schutzbedarf.
• Prüfen Sie, ob es angemessen und umsetzbar ist, Ihre Daten Client-seitig selbst zu verschlüsseln und nur verschlüsselt in der Cloud zu speichern (idealerweise mit eigenem Schlüsselbesitz, also HYOK oder BYOK).
• Prüfen Sie, ob die besonders sensiblen Informationen Ihres Unternehmens alternativ an anderer Stelle gespeichert werden sollten, um so Datensouveränität sicherzustellen.
• Halten Sie eine Exit-Strategie vor. Dies kann aus verschiedenen Gründen sinnvoll und nötig sein, z.B. weil die Datenschutz-Aufsichtsbehörde es verlangt oder weil der Cloud-Dienstleister sich als unzuverlässig erweist.
• Grundsätzlich sind auch Cloud-Dienstleister einfach Dienstleister, die in eine Dienstleister-Steuerung aufgenommen werden müssen. Dazu gehört die regelmäßige Prüfung.

Muss man einen potenziellen Datenschutzvorfall melden?

Da Microsoft zusichert, dass alle betroffenen Unternehmen informiert wurden, besteht für alle anderen keine Meldepflicht. Wer Zweifel daran hat – und gar verdächtige Logeinträge findet – kann aber vorsorglich trotzdem melden.

Meinung

Zwei wichtige Fragen stehen im Raum, die von Microsoft noch nicht beantwortet wurden:

1. Wie konnten die Angreifenden überhaupt an den MSA-Token-Signing-Key kommen?
2. Wieso glaubt man bei Microsoft offensichtlich fest daran, dass dieser der einzige Schlüssel ist, der kompromittiert wurde?

Ohne transparente Informationspolitik läuft man jedenfalls Gefahr, das mühsam aufgebaute Vertrauen in die Sicherheit ihrer (und anderer) Clouds zu verspielen. Es bleibt das ungute Gefühl, dass man bei Microsoft mehr weiß, als aktuell zugegeben wird.

Und was sagen eigentlich die deutschen Aufsichtsbehörden dazu? Immerhin waren laut Microsoft die primären Opfer des Angriffs europäische Regierungsbehörden. Man sollte erwarten, dass die Verantwortlichen vollständige Aufklärung verlangen oder gar die gesamte Cloud-Nutzung hinterfragen. Darauf deutet jedoch nichts hin. Auf Anfrage des heise-Verlages äußerte sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte August wie folgt: „Der Vorfall [...] führt aber nicht zu einer grundsätzlichen Neubewertung der Sicherheit von Cloud-Computing durch das BSI“. Man habe „keine Hinweise, dass Einrichtungen der Bundesverwaltung betroffen sind“.⁵

Auch die Datenschutzkonferenz hat bislang nichts zu dem Thema verlauten lassen. Das überrascht, wo doch die Aufsichtsbehörden in der Vergangenheit teils sehr restriktiv mit Datenverarbeitungen in der Cloud umgegangen sind.

Aufgrund der unübersichtlichen Informationslage und dem „Schweigen“ der Behörden muss jede Organisation für sich die Situation bewerten und die zugehörigen Risiken abzuwägen. Nach unserer fachlichen Analyse empfehlen wir die oben genannten Maßnahmen, um so im Sinne der Geschäftskontinuität Ihrer Organisation vorbeugend zu agieren.

¹ https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/

² https://learn.microsoft.com/de-de/security/operations/token-theft-playbook

³ https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a

⁴ https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr

⁵ https://www.heise.de/news/Microsofts-gestohlener-Master-Key-USA-stellen-Cloud-Security-auf-den-Pruefstand-9244487.html