Microsoft und der Diebstahl des Master Keys: Was Sie wissen müssen

In der Welt der digitalen Technologie und des Cloud-Computings sind Sicherheitsverletzungen und Hackingangriffe leider keine Seltenheit. Jüngst machte ein besonders brisanter Vorfall Schlagzeilen, der das Vertrauen in Microsoft und seine Azure-Cloud in Frage stellte.

Dabei geht es um den Diebstahl eines Master Keys, der möglicherweise weitreichende Auswirkungen auf die Sicherheit von Microsofts Cloud-Anwendungen hatte.

In diesem Blogbeitrag werfen wir einen genaueren Blick auf die Ereignisse rund um den Diebstahl des Master Keys und wie Microsoft darauf reagiert hat. 

Die Geschichte beginnt mit einem Hackingangriff aus China, bei dem eine Gruppe namens "Storm-0558" gefälschte Zugangs-Tokens für die Azure-Cloud verwendet hat. Diese Angriffe zielten nicht nur auf Privatpersonen, sondern vor allem auf Organisationen und sogar staatliche Einrichtungen.

Der Angriff begann im Mai 2023 und dauerte etwa einen Monat, bis eine US-Behörde Microsoft auf verdächtige Aktivitäten in ihren Online-Exchange-Konten aufmerksam machte. Damit hatte die Gruppe wochenlang Zugriff auf nahezu alle Daten bei Microsofts Clouddiensten. Aber was genau war das Ziel des Angriffs? 

Der Schockmoment kam, als sich herausstellte, dass die Hacker:innen nicht nur Zugang zu E-Mail-Konten erlangten, sondern auch einen äußerst mächtigen Master Key für große Teile der Microsoft-Cloud gestohlen hatten. Dieser Master Key ermöglichte der Gruppe potenziell den Zugriff auf andere Organisationen und Dienste innerhalb von Azure. Das genaue Ausmaß des Vorfalls blieb zunächst unklar, da Microsoft nur begrenzte Informationen veröffentlichte.

Expert:innen vom Sicherheitsunternehmen Wiz gelang es jedoch, den gestohlenen Microsoft Key zu identifizieren. Dieser Schlüssel war ein OpenID Signing Key für das Azure Active Directory (Azure AD). Mit diesem Schlüssel konnten die Angreifer:innen Zugangstoken für Benutzerkonten fast aller Microsoft-Cloud-Dienste erstellen. Dies beinhaltete nicht nur E-Mail-Konten, sondern auch Dienste wie Office, Sharepoint und Teams. Selbst Apps von Kund:innen, die "Login with Microsoft" unterstützten, könnten gefährdet gewesen sein. 

Das ist äußerst besorgniserregend, da dies bedeutet, dass die Hacking-Gruppe potenziell Zugriff auf eine breite Palette von Anwendungen und Diensten hatten, die von zahlreichen Unternehmen und Organisationen genutzt werden. Selbst Unternehmen, die ihre eigenen Azure-AD-Instanzen und Cloud-Anwendungen betreiben, waren gefährdet, wenn sie "Login with Microsoft" anboten und anderen AAD-Instanzen vertrauten.

Microsoft reagierte entschlossen auf den Diebstahl des Master Keys. Sie blockierten die mit dem gestohlenen Schlüssel zertifizierten Token und ersetzten den Schlüssel. Dies soll weitere Zugriffe verhindern. Allerdings ist es durchaus möglich, dass die Angreifer:innen die betroffenen Accounts mit Hintertüren versehen haben. Microsoft versicherte den Kund:innen, die nicht kontaktiert wurden, dass sie höchstwahrscheinlich nicht betroffen seien.

Um sich vor ähnlichen Vorfällen zu schützen, hat Microsoft ein Playbook veröffentlicht, das Unternehmen bei der Identifizierung von Token-Diebstahl und ungewöhnlichen Aktivitäten in ihren Cloud-Umgebungen unterstützt.

Zusätzlich veröffentlichte Microsoft Sicherheitsupdates, um Kund:innen dabei zu helfen, die Validierung von Tokens in ihren individuellen Anwendungen zu verbessern. Diese Maßnahmen sollten die Sicherheit der Azure-Cloud weiter erhöhen.

Microsoft hat bisher nur begrenzte Informationen zu dem Vorfall veröffentlicht und den Zugang zu Log-Daten, die Hinweise auf Sicherheitsprobleme liefern könnten, nur gegen zusätzliche Kosten angeboten. Erst nach diesem Vorfall hat Microsoft angekündigt, den Zugang zu diesen Daten ohne zusätzliche Gebühren freizugeben. 

Trotz der Maßnahmen von Microsoft bleiben einige Fragen offen. Es gibt keine klaren Beweise dafür, dass die Hacking-Gruppe den gestohlenen Master Key über das hinausgehend genutzt haben, was Microsoft bisher eingeräumt hat. Dies könnte auf die begrenzten Informationen und den eingeschränkten Zugang zu Cloud-Dienst-Log-Daten zurückzuführen sein. Denn bis heute weigert Microsoft sich, die genauen Hintergründe, die tatsächlich betroffenen Produkte und die Konsequenzen offenzulegen.

Dazu, wie der Schlüssel überhaupt gestohlen werden konnte, hat Microsoft sich mittlerweile geäußert: Bei Untersuchungen ist nun herausgekommen, dass der Schlüssel vermutlich aus einem Crash-Dump stammt. Das sind Speicherbereiche, die in eine Datei geschrieben werden, falls eine Anwendung abstürzt. Laut Microsoft pflege es eine hochisolierte und gesicherte Produktionsumgebung. Dort lief das fragliche Consumer-Signing-System. Nach einem Absturz des Systems im April 2021 landete der Schlüssel durch eine Verkettung von Zufällen in besagtem Crash-Dump. Das will Microsoft jetzt beheben.

Obwohl der Schlüssel nicht mehr funktioniert, hätte die Hacking-Gruppe problemlos Hintertüren in den Cloud-Diensten anlegen können. Daher müsste jetzt eigentlich die gesamte Microsoft-Cloud auf derartige Hintertüren und mögliche kompromittierte Zugänge durchsucht werden. Doch niemand weiß so richtig, wie das funktionieren kann. Auch von Microsoft kommt hier nicht die benötigte Unterstützung.

Der Konzern hat aber angekündigt, die Sicherheitsmaßnahmen zu erhöhen. Die angekündigten Maßnahmen lassen aber auch erahnen, dass bisher einiges schieflief – vor allem in Bezug auf den Aufbewahrungsort und die Überwachungsmaßnahmen.

Es bleibt jedoch eine wichtige Lehre aus diesem Vorfall: Die Sicherheit in der digitalen Welt ist von entscheidender Bedeutung, und Unternehmen müssen ständig daran arbeiten, ihre Systeme zu schützen und auf mögliche Sicherheitsverletzungen vorbereitet zu sein. 

Die Nutzung von Cloudlösungen hat zweifellos die Art und Weise, wie Unternehmen ihre Daten speichern und verwalten, revolutioniert. Doch trotz der vielen Vorteile, die die Cloud bietet, ist es wichtig, sich der Herausforderungen bewusst zu sein, die damit einhergehen können. In den USA haben Behörden in letzter Zeit ihre Cloudstrategien überdacht und überlegen genau, wo sie welche Daten in der Cloud ablegen sollten.

Dieser Schritt zeigt deutlich, wie wichtig es ist, eine gut durchdachte Cloudstrategie zu entwickeln. Es geht nicht nur darum, Daten in die Cloud zu verschieben, sondern auch darum, die richtige Cloudlösung für die eigenen Bedürfnisse zu wählen.

Microsoft ist sicherlich eine beliebte Wahl, aber es gibt auch viele andere Anbieter, die unterschiedliche Ansätze verfolgen. Daher ist es entscheidend, die spezifischen Anforderungen und Ziele des Unternehmens zu berücksichtigen, bevor eine Cloudlösung ausgewählt wird. Dabei sollten KMU vor allem auch ihre eigenen Sicherheitsanforderungen berücksichtigen. Sensibilisierung für Cloudlösungen bedeutet, die Vor- und Nachteile sorgfältig abzuwägen und eine Strategie zu entwickeln, die perfekt zu Ihren individuellen Anforderungen passt. 

Neben einer dedizierten Cloud-Strategie ist auch die Absicherung der genutzten Cloud-Anwendungen eine wichtige Maßnahme für KMU. Dazu gehört beispielsweise die Einführung zusätzlicher Sicherheitsebenen, wie einer Multifaktor-Authentisierung. Auch Sicherheitsüberprüfungen sollten regelmäßig erfolgen. Das kann dazu beitragen, den Zugang zu Cloud-Ressourcen noch weiter abzusichern.

Ein weiterer wichtiger Schritt ist die Schulung der Mitarbeitenden in Bezug auf Sicherheitsbewusstsein und bewährte Praktiken im Umgang mit Cloud-Diensten. Oft sind menschliche Fehler die Ursache für Sicherheitsverletzungen und eine gut informierte Belegschaft kann dazu beitragen, diese Risiken zu minimieren.

KMU sollten außerdem ihre Daten regelmäßig sichern und Wiederherstellungspläne erstellen, um im Falle eines Sicherheitsvorfalls schnell handeln zu können. Tipp: Testen Sie bereits im Vorfeld, ob die Wiederherstellung auch funktioniert. 

Der Diebstahl des Master Keys bei Microsoft hat die Bedeutung von Sicherheit in der Cloud erneut unterstrichen. Es ist unerlässlich, dass Unternehmen, insbesondere KMU, ihre Cloudstrategien überdenken und zusätzliche Sicherheitsvorkehrungen treffen.

Die Auswahl des richtigen Cloud-Anbieters, die Implementierung von Sicherheitsmaßnahmen und die Schulung der Mitarbeitenden sind entscheidende Schritte auf dem Weg zu einer sichereren Nutzung von Cloud-Diensten.

Trotz der Herausforderungen sollten Unternehmen nicht auf die Vorteile der Cloud verzichten, sondern vielmehr daran arbeiten, die Sicherheit kontinuierlich zu verbessern und auf mögliche Sicherheitsverletzungen vorbereitet zu sein. 

Diedrich, Oliver Dr. (2023): „Nach dem geklauten Master-Key für Azure: Hilfestellung von Microsoft“, heise online, 04. August 2023, https://www.heise.de/news/Nach-dem-geklauten-Master-Key-fuer-Azure-Hilfestellung-von-Microsoft-9234954.html, letzter Zugriff am 07. September 2023.

Holland, Martin (2023): „Hackerangriff aus China auf Dutzende Organisationen und auch Staaten“, heise online, 12. Juli 2023, https://www.heise.de/news/Hackerangriff-aus-China-auf-Dutzende-Organisationen-und-auch-Staaten-9213658.html, letzter Zugriff am 07. September 2023.

Schirmacher, Dennis (2023): „Sicherheitsupdates: Unbefugte Zugriffe auf TP-Link-Router möglich“, heise online, 07. September 2023, https://www.heise.de/news/Sicherheitsupdates-Unbefugte-Zugriffe-auf-TP-Link-Router-moeglich-9297306.html, letzter Zugriff am 08. September 2023.

Schirmacher, Dennis (2023): „Sicherheitsupdates: Angreifer können Kontrolle über Asus-Router erlangen“, heise online, 06. September 2023, https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-Kontrolle-ueber-Asus-Router-erlangen-9296210.html, letzter Zugriff am 08. September 2023.

Schmidt, Jürgen (2023): „Gestohlener Cloud-Master-Key: Microsoft schweigt – so fragen Sie selbst“, heise online, 28. Juli 2023, https://www.heise.de/news/Gestohlener-Cloud-Master-Key-Microsoft-schweigt-so-fragen-Sie-selber-9229395.html, letzter Zugriff am 07. September 2023.

Schmidt, Jürgen (2023): „Microsofts gestohlener Schlüssel mächtiger als vermutet“, heise online, 24. Juli 2023, https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html, letzter Zugriff am 07. September 2023.