Microsoft bietet weitere Informationen darüber, wie chinesische Hacker Zugriff auf E-Mail-Konten der Regierung erhielten

Letzte Woche berichtete Microsoft, dass eine Gruppe chinesischer Hacker Zugriff auf Regierungs-E-Mail-Konten in den USA und Europa erhalten habe . Konkret drang die Hackergruppe in Exchange Online und auch auf Outlook.com in E-Mail-Konten ein, die Microsofts Outlook Web Access nutzten.

In einem anschließenden Blog-Beitrag gab Microsoft weitere Details darüber bekannt, wie es dieser Gruppe namens Storm-0558 gelang, über das Online-System des Unternehmens Zugriff auf diese Konten zu erhalten. Microsoft erklärte:

Storm-0558 erwarb einen inaktiven MSA-Consumer-Signaturschlüssel und fälschte damit Authentifizierungstoken für Azure AD Enterprise und MSA-Consumer für den Zugriff auf OWA und Outlook.com. Alle vor dem Vorfall aktiven MSA-Schlüssel – einschließlich des vom Akteur erworbenen MSA-Signaturschlüssels – wurden ungültig gemacht. Azure AD-Schlüssel waren nicht betroffen. Die Methode, auf der der Schauspieler an den Schlüssel gelangte, ist Gegenstand laufender Ermittlungen. Obwohl der Schlüssel nur für MSA-Konten gedacht war, konnte dieser Schlüssel aufgrund eines Validierungsproblems zum Signieren von Azure AD-Tokens als vertrauenswürdig eingestuft werden. Dieses Problem wurde behoben.

Der Blog erklärt auch, wie die Hackergruppe diesen Signaturschlüssel nutzte, um Zugriff auf die Webversion von Outlook zu erhalten:

Nach der Authentifizierung durch einen legitimen Client-Flow unter Nutzung des gefälschten Tokens griff der Bedrohungsakteur auf die OWA-API zu, um ein Token für Exchange Online von der von OWA verwendeten GetAccessTokenForResource-API abzurufen. Aufgrund eines Designfehlers konnte der Akteur neue Zugriffstoken erhalten, indem er einen zuvor von dieser API ausgegebenen vorlegte. Dieser Fehler in der GetAccessTokenForResourceAPI wurde inzwischen behoben, so dass nur noch von Azure AD bzw. MSA ausgegebene Token akzeptiert werden. Der Akteur nutzte diese Token, um E-Mail-Nachrichten von der OWA-API abzurufen.

Im Rahmen seiner Bemühungen, dieses Problem zu beheben, hat Microsoft einige Änderungen an seinen Verfahren vorgenommen:

Dazu gehören eine verstärkte Isolierung der Systeme, eine verfeinerte Überwachung der Systemaktivität und die Umstellung auf den gehärteten Schlüsselspeicher, der für unsere Unternehmenssysteme verwendet wird. Mit diesen aktualisierten Systemen haben wir alle zuvor aktiven Schlüssel widerrufen und neue Schlüssel ausgegeben. Unsere aktive Untersuchung zeigt, dass diese Verbesserungen der Härtung und Isolation die Mechanismen stören, die der Akteur unserer Meinung nach zum Erwerb von MSA-Signaturschlüsseln hätte nutzen können.

Microsoft gibt an, dass seitens seiner Outlook-Webkunden keine Maßnahmen erforderlich seien, da „alle mit diesem Vorfall in Zusammenhang stehenden Akteursaktivitäten blockiert wurden“. Es fügte hinzu, dass das Unternehmen „die Storm-0558-Aktivitäten weiterhin überwachen und Schutzmaßnahmen für unsere Kunden implementieren werde“.