Microsoft: Freizügiges SAS-Token legte 38 TB interne Daten offen

Schon im Sommer 2020 hatten KI-Forscher von Microsoft versehentlich ein SAS-Token auf GitHub veröffentlicht, das mit weitreichenden Zugriffsrechten auf ein Azure-Storage-Konto des Konzerns ausgestattet war. Erst drei Jahre später entdeckten Sicherheitsforscher von Wiz das Datenleck und machten die Redmonder darauf aufmerksam.

SAS-Tokens bergen erhebliche Risiken

Wie die Wiz-Forscher in ihrem Bericht erklären, handelt es sich bei einem SAS-Token (Shared Access Signature) um eine signierte URL, die ihrem Besitzer Zugriff auf Daten von Azure-Storage-Konten gewährt. Dabei könne die Zugriffsebene vom jeweiligen Kontobesitzer beliebig angepasst werden – „die Berechtigungen reichen von schreibgeschützt bis zur vollständigen Kontrolle, während der Umfang entweder eine einzelne Datei, ein Container oder ein ganzes Speicherkonto sein kann“, erklären die Sicherheitsforscher diesbezüglich. Und auch die Gültigkeitsdauer eines solchen Tokens lasse sich beliebig definieren, wobei selbst eine unbegrenzte Gültigkeit einstellbar sei.

Grundsätzlich seien die Nutzer dadurch zwar sehr flexibel, jedoch bestehe ebenfalls ein enormes Risiko, wenn der Anwender zu viele Zugriffsrechte gewähre. Im schlimmsten Fall könne ein Nutzer dem Besitzer des SAS-Tokens volle Kontrollrechte über sein gesamtes Konto einräumen. Entsprechend soll auch das von Microsofts KI-Abteilung veröffentlichte Token konfiguriert gewesen sein, das am 20. Juli 2020 mit einem Commit auf GitHub durchgesickert sei, mit dem der Konzern eigentlich nur eine Reihe frei verfügbarer Trainingsdaten bereitstellen wollte. Im Endeffekt seien durch das SAS-Token aber interne Daten im Umfang von 38 Terabyte für jedermann frei zugänglich gewesen – darunter Passwörter, private Schlüssel, über Microsoft Teams ausgetauschte Nachrichteninhalte und zwei vollständige Festplatten-Backups der Workstations zweier Microsoft-Mitarbeiter.

Erst am 22. Juni 2023, also rund drei Jahre nachdem das SAS-Token seinen Weg auf GitHub fand, haben die Wiz-Forscher das Problem entdeckt und an Microsoft gemeldet. Zwei Tage darauf, also am 24. Juni, erklärte der Konzern das Token schließlich für ungültig und leitete interne Untersuchungen ein, um das Ausmaß des Datenlecks zu erkunden.

Kundendaten sind laut Microsoft nicht betroffen

Gestern erklärte Microsoft in einem Blogbeitrag, es seien im Rahmen des Datenlecks keinerlei Kundendaten an die Öffentlichkeit gelangt. Auch für andere interne Dienste des Konzerns sei von der Veröffentlichung des SAS-Tokens keinerlei Gefahr ausgegangen. Ein Handlungsbedarf für Microsofts Kunden bestehe demnach nicht. Außerdem habe das Unternehmen den Secret Scanning Service von GitHub ausgeweitet, sodass dieser nun auch SAS-Tokens erkenne, die mit einer übermäßig langen Gültigkeitsdauer oder sehr umfangreichen Berechtigungen ausgestattet seien.

Obwohl der Vorfall in den eigenen Reihen stattfand, nutzt der Konzern außerdem die Gelegenheit, um die Öffentlichkeit in seiner Mitteilung auf Best Practices im Umgang mit SAS-Tokens hinzuweisen. So sei es etwa wichtig, die SAS-URLs grundsätzlich mit möglichst wenigen Privilegien auszustatten, ihre Gültigkeitsdauer möglichst kurz zu halten und generell vorsichtig damit umzugehen.

Die Wiz-Forscher hingegen raten gänzlich vom Einsatz der SAS-Tokens ab, da ihr Einsatz aufgrund mangelnder Überwachungs- und Kontrollmöglichkeiten ein Sicherheitsrisiko darstelle. Grundsätzlich mangle es im Azure-Portal an einer zentralen Verwaltungsmöglichkeit für Nutzer, sodass es für diese schwer sei, den Überblick über ihre Token zu bewahren. Die Tatsache, dass sich ein SAS-Token mit unbegrenzter Gültigkeit erstellen lasse, sei ebenfalls als problematisch einzustufen. „Daher ist die Verwendung von Account-SAS-Tokens für die externe Freigabe unsicher und sollte vermieden werden“, so die Sicherheitsforscher.