Microsoft erklärt, wie eine chinesische Hackergruppe auf E-Mail-Konten der Regierung zugreifen konnte

Im Juli gab Microsoft bekannt, dass eine bekannte chinesische Hackergruppe mit der Bezeichnung Storm-0558 auf Regierungs-E-Mail- Konten in den USA und Westeuropa zugreifen konnte . Das Unternehmen sagte, die Gruppe habe „einen erworbenen MSA-Schlüssel verwendet, um Token für den Zugriff auf OWA und Outlook.com zu fälschen.“ Es fügte hinzu: „Der Akteur nutzte ein Token-Validierungsproblem aus, um sich als Azure AD-Benutzer auszugeben und Zugriff auf Unternehmens-Mails zu erhalten.“

Microsoft hat eine Untersuchung darüber eingeleitet, wie der MSA-Schlüssel (Microsoft Account) erworben wurde und wie ein Verbraucherschlüssel auf Unternehmens-Outlook-E-Mail-Konten zugreifen konnte. Diese Woche veröffentlichte das Unternehmen seine Ergebnisse auf seiner Microsoft Security Responses Center-Website .

Microsoft gibt an, dass ein Ereignis, das sich vor über zwei Jahren ereignete, der Grund dafür war, dass die Gruppe Zugriff auf den MSA-Schlüssel erhielt:

Unsere Untersuchung ergab, dass ein Absturz eines Verbrauchersignatursystems im April 2021 zu einer Momentaufnahme des abgestürzten Prozesses („Absturz-Dump“) führte. Die Crash-Dumps, die vertrauliche Informationen schwärzen, sollten den Signaturschlüssel nicht enthalten. In diesem Fall ermöglichte eine Race-Bedingung, dass der Schlüssel im Crash-Dump vorhanden war (dieses Problem wurde behoben). Das Vorhandensein des Schlüsselmaterials im Crash-Dump wurde von unseren Systemen nicht erkannt.

Microsoft fügte hinzu, dass die Crash-Dump-Daten dann „aus dem isolierten Produktionsnetzwerk in unsere Debugging-Umgebung im mit dem Internet verbundenen Unternehmensnetzwerk verschoben“ wurden, was das Standardverfahren war. Bei einem Scan der Crash-Dump-Daten wurde der MSA-Schlüssel jedoch nicht erkannt. Laut Microsoft wurde dies ebenfalls behoben.

Das Unternehmen geht davon aus, dass Storm-0558 in der Lage war, den MSA-Schlüssel aus den Crash-Dump-Daten abzurufen, indem es ein Unternehmenskonto von einem der Microsoft-Ingenieure kompromittiert hat. Es gibt keine direkten Beweise dafür, dass ein bestimmtes Konto kompromittiert wurde, Microsoft geht jedoch davon aus, dass „dies der wahrscheinlichste Mechanismus war, durch den der Akteur an den Schlüssel gelangt ist“.

Schließlich geht das Unternehmen davon aus, dass Storm-0558 aufgrund eines Fehlers bei der Aktualisierung einer API in der Lage war, den MSA-Schlüssel zu duplizieren und in einen Schlüssel umzuwandeln, der für den Zugriff auf Unternehmens-E-Mail-Konten verwendet wurde:

Als Teil einer bereits vorhandenen Bibliothek von Dokumentations- und Hilfs-APIs stellte Microsoft eine API zur Verfügung, um die kryptografische Validierung der Signaturen zu unterstützen, hat diese Bibliotheken jedoch nicht aktualisiert, um diese Bereichsvalidierung automatisch durchzuführen (dieses Problem wurde behoben). Die Mailsysteme wurden 2022 aktualisiert, um den gemeinsamen Metadatenendpunkt zu verwenden. Entwickler im Mailsystem gingen fälschlicherweise davon aus, dass Bibliotheken eine vollständige Validierung durchführten und die erforderliche Emittenten-/Bereichsvalidierung nicht hinzufügten. Daher würde das E-Mail-System eine Anfrage nach Unternehmens-E-Mail mit einem mit dem Verbraucherschlüssel signierten Sicherheitstoken akzeptieren (dieses Problem wurde mithilfe der aktualisierten Bibliotheken behoben).

Nachdem der Hacking-Vorfall mit staatlichen E-Mail-Konten entdeckt wurde, blockierte Microsoft die Verwendung des MSA-Schlüssels und blockierte auch die Verwendung von mit dem Schlüssel ausgegebenen Token. Im August kündigte das Cyber ​​Safety Review Board (CSRB) der US-Regierung an, eine eigene Untersuchung des Vorfalls durchzuführen . Es wird Teil einer Gesamtuntersuchung von Hackern sein, die es auf Cloud-Computing-Systeme und Unternehmen im Allgemeinen abgesehen haben.