Ist die Microsoft Cloud nicht mehr oder doch noch sicher?
Laut Angabe von Microsoft ist von der chinesischen Hacker-Gruppe Storm-0558 ein digitaler Schlüssel gestohlen worden, mit dem zwischen April 2021 und Frühjahr 2023 weltweit Konten auf Exchange Online und Outlook.com kompromittiert wurden. Das wurde erst im Sommer bekannt. Es ist nicht klar, wie lange der Missbrauch wirklich gedauert hat, weil es so weit zurückreichende Logbücher nicht gibt.
Laut Angaben von anderen Sicherheitsexperten seien alle Azure AD-Anwendungen gefährdet, die mit Microsofts OpenID 2.0 arbeiten, also eigentlich alles, wozu man sich mit Microsoft anmelden kann. Der ursprüngliche Angriff nutzte die inzwischen geschlossene Zero-Day-Lücke GetAccessTokenForResourceAPI und richtete sich wohl gegen Regierungsbehörden in den USA und Westeuropa.
Die entsprechenden Funktionen wurden deaktiviert und der Schlüssel somit unbrauchbar gemacht, aber es ist nicht bekannt, ob und welche anderen Hintertüren damit geöffnet wurden, so dass ein Sicherheitsrisiko bleibt. Auf der anderen Seite berichtet Microsoft im September ausführlich, dass und wie es die spezifische Lücke mit kaskadierenden Maßnahmen geschlossen hat.
Bis jetzt gibt es noch keine Anzeichen, dass die Angreifer auf Wirtschaftssabotage umstellen, so dass wir das Risiko für unsere meisten Kunden nicht als wesentlich erhöht sehen. Das Risiko muss jedoch individuell beurteilt werden und wir raten, sich mit Ihrem Informationssicherheitsbeauftragten und Datenschutzbeauftragten zu beraten. Überlegen Sie ernsthaft, ob Sie Dateien zusätzlich verschlüsseln oder ob Sie sich vollständig abhängig von einer Cloud machen wollen.
Bei Fragen stehen wir gerne zu Ihrer Verfügung.
Weiterführend
-
Stolen Microsoft key offered widespread access to Microsoft cloud services
-
Analysis of Storm-0558 techniques for unauthorized email access | Microsoft Security Blog
-
Results of Major Technical Investigations for Storm-0558 Key Acquisition | MSRC Blog | Microsoft Security Response Center
Autor: Florian Thomas Hofmann, Data Privacy Consultant, 27.09.2023