Crash-Dump: So gelangten Hacker an Microsofts Signaturschlüssel
Schon vor Monaten gab es Medienberichte über einen sensiblen Signaturschlüssel von Microsoft, der in die Hände einer chinesischen Hackergruppe namens Storm-0558 gelangt war. Erst jetzt will der Redmonder Softwarekonzern in Erfahrung gebracht haben, wie die Angreifer an den Schlüssel kamen.
Per Race-Condition in den Crash-Dump
Wie Microsoft in einem neuen Blogbeitrag erklärt, sei der Signaturschlüssel in einem Crash-Dump, der schon im April 2021 beim Absturz eines Signierungssystems entstanden sei, enthalten gewesen. Dies sei aber nicht die Regel – normalerweise habe ein solch sensibler Schlüssel in den Fehlerdaten nichts zu suchen. Eine Race-Condition, die der Konzern inzwischen beseitigt habe, habe jedoch in diesem Fall dazu geführt, dass der Signaturschlüssel in den Datensatz eingefügt wurde. Microsofts Systeme seien außerdem nicht imstande gewesen, den in dem Crash-Dump eingebetteten Schlüssel zu erkennen. Auch dafür habe das Unternehmen inzwischen eine Korrektur implementiert.
In dem Glauben, der Crash-Dump enthalte keinerlei sensible Informationen, sei dieser anschließend aus dem isolierten Produktionsnetzwerk in Microsofts Debugging-Umgebung gelangt, die mit dem regulären Unternehmensnetzwerk inklusive Internetzugang verbunden sei. Dieser Vorgang sei zwar im Einklang mit den Standard-Debugging-Prozessen des Konzerns erfolgt, wie und warum der Datentransfer stattfand, erklärt Microsoft aber nicht.
Hacker kompromittierten das Konto eines Mitarbeiters
Innerhalb der Debugging-Umgebung sei es den Systemen, die dort eigentlich aktiv nach Zugangsdaten und Schlüsseln suchen und darauf aufmerksam machen sollen, ebenfalls nicht gelungen, den Signaturschlüssel zu erkennen. Auch diesen Missstand habe Microsoft aber inzwischen korrigiert. Später sei es Storm-0558 dann gelungen, das Unternehmenskonto eines Microsoft-Ingenieurs zu kompromittieren und von dort aus auf die Debugging-Umgebung zuzugreifen, wo die Hacker schließlich den Crash-Dump mit dem Signaturschlüssel in ihren Besitz bringen konnten.
Trotz allem betont der Softwarekonzern, er könne den Hergang nicht mit spezifischen Beweisen untermauern. Grund dafür seien geltende Richtlinien zur Aufbewahrung von Protokolldaten – die nötigen Protokolle seien schlichtweg nicht mehr verfügbar. Dennoch halte Microsoft dies für „den wahrscheinlichsten Mechanismus, durch den der Akteur den Schlüssel erworben hat“.
Signaturschlüssel verschaffte Hackern weitreichende Möglichkeiten
Mit dem gestohlenen Signaturschlüssel konnten sich die chinesischen Hacker einst weitreichende Zugriffsmöglichkeiten auf verschiedene Microsoft-Konten verschaffen. In einem Blogbeitrag vom 14. Juli war noch von etwa 25 Organisationen die Rede, auf deren E-Mail-Postfächer die Angreifer zugegriffen hatten – darunter auch Konten von Regierungsbehörden und anderen Kunden der Microsoft-Cloud. Wie die Hacker den Schlüssel in ihren Besitz bringen konnten, konnte der Konzern damals noch nicht erklären. Er gab lediglich zu verstehen, dass er das Problem inzwischen entschärft habe, sodass ein weiterer Missbrauch des Schlüssels durch die Angreifer nicht mehr möglich sei.
Und obwohl Microsoft zu dieser Zeit noch behauptete, es sei neben der Microsoft-Cloud „keine andere Umgebung betroffen“, kamen Sicherheitsforscher von Wiz rund eine Woche später zu einem ganz anderen Ergebnis. Demnach sei Storm-0558 mit dem Signaturschlüssel in der Lage gewesen, Zugangstoken für alle Azure-Active-Directory-Anwendungen zu generieren, die mit Microsofts OpenID v2.0 arbeiten. Dies habe ihnen potenziell auch den Zugriff auf persönliche Microsoft-Konten erlaubt, die im Zusammenhang mit anderen Microsoft-Diensten wie Skype, Outlook, SharePoint, OneDrive, Teams oder Xbox genutzt wurden. Selbst „Kundenanwendungen, die die Microsoft-Konto-Authentifizierung unterstützen, einschließlich solcher, die die Funktion ‘Anmelden mit Microsoft’ anbieten“, seien demnach betroffen gewesen.