Microsoft wurde vor knapp zwei Monaten gehackt.
On June 16, 2023 […] Microsoft began an investigation into anomalous mail activity. Over the next few weeks, our investigation revealed that beginning on May 15, 2023, [an adversary based in China that Microsoft calls Storm-0558] gained access to email data from approximately 25 organizations, and a small number of related consumer accounts […] They did this by using forged authentication tokens to access user email using an acquired Microsoft account (MSA) consumer signing key. Microsoft has completed mitigation of this attack for all customers.
Charlie Bell
Die Washington Post zitiert Sicherheitsexperten und ergänzt den Blogbeitrag des Microsoft-Sicherheitschefs um einen für das Unternehmen unangenehmen Teil.
The hackers could create that key only with a more powerful internal key controlled by Microsoft […] suggesting that Microsoft itself had been hacked or compromised by an insider. […] U.S. officials said they were investigating how the signing keys were obtained from Microsoft […] This attack used a stolen key that Microsoft’s design failed to properly validate […] The inability to do proper validation for authentication is a habit, not an anomaly.
Washington Post
Ich hoffe, Microsoft bekommt das hin und kann Angriffe dieser Art in Zukunft (besser) verhindern. Klar, gegen einen menschlichen Akteur, der auf hohem Level von innen heraus agiert, ist es schwer anzukämpfen – und genau das suggeriert der Artikel auch -, aber nicht unmöglich.
Mir scheint die Sache noch nicht beendet zu sein. Auch die Kommunikation dazu fühlt sich nicht abgeschlossen, sondern in Schwebe an. Mal sehen, was da noch so kommt. Und mal hoffen, dass da nichts mehr kommt.
Aktualisierung am 30. Juli 2023
…die Sache ist nicht beendet. Scheinbar war der gestohlene Key deutlich potenter als angenommen und scheint eine Art Masterkey für große Teile der Microsoft-Cloud gewesen zu sein.
Mit diesem Signing Key [konnte man] Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Also nicht nur Outlook, sondern auch Office, Sharepoint und Teams. Doch es kommt noch schlimmer: […] Auch in von Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Appikationen hätten die Storm-Trooper demnach einfach reinspazieren können, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein „Login with Microsoft“ ermöglichten. […] Microsoft hat den kompromittierten Schlüssel zwar jetzt gesperrt, […] aber es wäre durchaus möglich gewesen, die Zugänge vorher zu nutzen, um die betroffenen Accounts – also praktisch fast die gesamte Microsoft-Cloud – mit Hintertüren zu versehen. Eigentlich müsste man jetzt jedes einzelne AAD- und Microsoft-Konto auf nicht autorisierte Aktivitäten hin überprüfen.
heise online
Wenn ich soetwas lese, dann bin ich froh, nahezu all meine Daten mittels Ende-zu-Ende-Verschlüsselung geschützt zu haben, und ich ärgere mich umso mehr, dass so eine wertvolle App wie Boxcryptor, mit der ich sogar die Ende-zu-Ende-Verschlüsselung vom Cloud-Anbieter trennen konnte, nicht mehr verfügbar ist. Ja, es gibt noch Cryptomator, aber da habe ich mir so dermaßen die Finger verbrannt, dass es viele, sehr viele weitere Anläufe brauchen wird, bis mein Vertrauen wiederhergestellt ist. Andererseits ist alles besser als die eigenen Daten irgendwo unverschlüsselt zum Download angeboten zu bekommen.