Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Microsoft untersucht immer noch den durch E-Mail-Angriffe gestohlenen MSA-Schlüssel
Microsoft sagte, es untersuche immer noch, wie ein Bedrohungsakteur an den Konto-Anmeldeschlüssel gelangt sei, der zu gehackten E-Mail-Konten mehrerer Kunden, darunter US-Regierungsbehörden, geführt habe.
Letzte Woche enthüllte Microsoft, dass ein in China ansässiger Bedrohungsakteur, den Storm-0558 verfolgt, E-Mail-Konten unter Verwendung von Outlook Web Access (OWA) in Exchange Online und Outlook.com zu Spionagezwecken gehackt hat. Um Zugriff zu erhalten, stahlen Storm-0558-Betreiber einen Consumer-Signaturschlüssel für ein Microsoft-Konto (MSA), um Token für Azure Active Directory (AD)-Unternehmens- und MSA-Benutzer zu fälschen, um auf Exchange Online- und OWA-Konten zuzugreifen.
Der Angriff betraf etwa 25 Organisationen, darunter auch Regierungsbehörden, und rechtfertigte eine Mitteilung der CISA, die besagte, dass eine zivile Exekutivbehörde des Bundes die verdächtige Aktivität erstmals im Juni entdeckt und die Aktivität als erste an Microsoft gemeldet habe. Obwohl sowohl CISA als auch Microsoft letzte Woche bestätigten, dass ein MSA-Schlüssel gestohlen wurde, wurde nicht bekannt gegeben, wie.
Microsoft veröffentlichte am Freitagnachmittag ein Update, das bestätigte, dass das Unternehmen nicht weiß, wie der gestohlene MSA-Schlüssel erworben wurde. Es scheint jedoch auch, dass die Technik von Storm-0558 durch die Abhilfemaßnahmen von Microsoft unterdrückt wurde.
„Die Methode, mit der der Schauspieler an den Schlüssel gelangt ist, ist Gegenstand laufender Untersuchungen“, schrieb Microsoft in einem Blogbeitrag. „Seit Microsoft den vom Akteur erworbenen MSA-Signaturschlüssel ungültig gemacht hat, wurden keine schlüsselbezogenen Akteursaktivitäten beobachtet. Darüber hinaus haben wir den Übergang von Storm-0558 zu anderen Techniken beobachtet, was darauf hindeutet, dass der Akteur keine Signaturschlüssel verwenden oder darauf zugreifen kann.“ "
Darüber hinaus sagte Microsoft, dass der Bedrohungsakteur den gestohlenen Schlüssel aufgrund eines „Validierungsfehlers im Microsoft-Code“ verwenden konnte. Dieser Fehler ermöglichte es Storm-0558, einen Schlüssel, der nur für MSA-Konten vorgesehen war, auch auf Azure AD-Authentifizierungstokens zu verwenden.
Ein weiteres neues Detail, das im Blog vom Freitag veröffentlicht wurde, zeigte, dass der gestohlene MSA-Consumer-Signaturschlüssel inaktiv war. Es ist unklar, wie Angreifer es trotzdem nutzen könnten, um Token zu fälschen.
Microsoft lehnte eine weitere Stellungnahme ab.
Die Identitätstechnik von Storm-0558 für den Zugriff umfasste die Verwendung von APIs, die Unternehmen vor ständige Sicherheitsherausforderungen stellen. Microsoft sagte, nachdem Angreifer die gefälschten Token ausgenutzt hatten, um sich über einen legitimen Client-Flow Zugang zu verschaffen, hätten Storm-0558-Betreiber einen Fehler in der GetAccessTokenForResourceAPI ausgenutzt, der am 26. Juni behoben wurde.
„Der Akteur konnte aufgrund eines Designfehlers neue Zugriffstoken erhalten, indem er eines vorlegte, das zuvor von dieser API ausgegeben wurde“, heißt es in dem Blogbeitrag. „Die Akteure verwendeten Token, um E-Mail-Nachrichten von der OWA-API abzurufen.“
Dieser Zugriff half Storm-0558 dabei, E-Mails und Anhänge herunterzuladen, Konversationen zu finden und herunterzuladen sowie E-Mail-Ordnerinformationen abzurufen. Der Umfang der Datenexfiltration bleibt unklar, CISA bestätigte jedoch, dass über Konten von Regierungsbehörden kein Zugriff auf vertrauliche Informationen erfolgte.
Microsoft gab an, den Austausch des Schlüssels am 29. Juni abgeschlossen zu haben, was „den Bedrohungsakteur daran hindern sollte, ihn zur Fälschung von Token zu verwenden“. Seitdem wurden neue Signaturschlüssel in wesentlich aktualisierten Systemen ausgegeben.
Als Folge des Verstoßes verstärkte Microsoft die Isolierung der Exchange Online- und Outlook-Systeme von Unternehmensumgebungen, Anwendungen und Benutzern. Der Softwareriese hat auch die automatisierten Warnungen im Zusammenhang mit der Schlüsselüberwachung erhöht.
Derzeit scheint die Kampagne blockiert worden zu sein, Microsoft überwacht jedoch weiterhin die Storm-0558-Aktivitäten.
Arielle Waldman ist eine in Boston ansässige Reporterin, die über Neuigkeiten zur Unternehmenssicherheit berichtet.