News Crash-Dump: So gelangten Hacker an Microsofts Signaturschlüssel

[flaphoschi]

Erkenntnisse, sofern man Microsoft glauben mag:

• In der Cloud stürzen Prozesse wohl regelmäßig ab.
• So regelmäßig, dass die Crashdumps gleich automatisch exportiert werden müssen. // edit Matze wendet berechtigter Weise ein, dass das so nicht im Blog steht. Vermutlich per Hand kopiert. Danke!
• Einige US-Regierungbehörden haben Ihre E-Mails tatsächlich in der Cloud statt On-Premise auf eigener Hardware.
• Microsoft weiss weiterhin nicht sicher was eigentlich passiert ist.

Und zu allem Überdruss glauben andere Parteien, dass womöglich viel mehr Anwender betroffen sind und womöglich nicht nur US-Behörden und deren E-Mails? Das wäre dann ein Maximalschaden, weil Microsoft jeder Anwender die Cloud bei der Windowsinstallation per Zwang mit dem Account aufzwingt. In dem Fall sind womöglich viel mehr Daten komprimierter.

Und die Leuten dachten die Daten die bei Lastpass rausgetragen worden sind waren schlimm. Die Cloud-Passwortspeicher sind angeblich auch sicher und quasi unhackbar.

Wer es noch nicht gelernt hat:
Wer kritische Daten in der Cloud speichert, speichert sie auf dem Server von jemand anderem. Welches Interesse hat der eure Daten zu schützen? Und wie tief will man noch in den Vendor Lock-in rein, nachdem man in den APIs von Windows steckt und proprietären Diensten wie Teams und WhatsApp am Hals hat. Microsoft auch noch die Daten selbst zu geben ist eine Kapitulation.
Jedes Mal wenn man eine „bequeme Entscheidung“ trifft weil einem das angeboten wird ist es mit hoher Wahrscheinlichkeit ein Fehler.

Als normaler Anwender ist es sinnvoll sich bestimmte Leistungen einzukaufen. Etwa E-Mails, zumindest weiß man womit der Anbieter sein Geld verdient. Wenn man dafür nicht bezahlt ist man schon verloren, die müssen dann anders Einnahmen generieren.
Wenn man mehr Geld hat und die Sache einem wichtig ist, muss man entsprechend Fachinformatiker einstellen und ausbilden. Dann kann man sich sein Betriebsystem auswählen (Linux oder BSD), seine Mailserver (Exim, Postfix, Courier) auswählen, den Standort seiner Server auswählen und ein Backupsystem ausdenken. Garantien gibt es dann auch keine - aber wenigsten muss man keiner fremden Partei glauben. Und wenn einem die Entscheidungen nicht mehr gefallen? Alles quelloffene Software, da kann man in der Regel frei migrieren oder die Software ändern lassen. Programmierer kann man auch anstellen und ausbilden - soll ja Leute geben die Software besser haben wollen.

 

[TenDance]

Ich halte es für einen merkwürdigen Zufall dass eine Hackergruppe just in dem Zeitrahmen in dem ein wichtiger Schlüssel zufällig den Weg in eine eigentlich uninteressantere Abteilung von MS gefunden hat dort einen Mitarbeiter kompromittieren und den Schlüssel finden.

Eigentlich sind nur zwei Szenarien realistisch:

• die Hacker sind nahezu permanent in besagter Abteilung um aus den dumps evtl Rückschlüsse auf 0days und Co zu ziehen
• das war eine konzertierte Aktion mit vermutlich staatlicher Unterstützung damit ein Signaturschlüssel von einem Mitarbeiter "zufällig" in einem crashdump durchgewunken wurde damit am anderen Ende über einen kompromittierten Rechner dieser Schlüssel abgesaugt werden konnte.

Klingt zu wild? Vielleicht. Allerdings ist so ein Schlüssel mit Zugang zu einer Cloud auf der vielfach amerikanische Regierungsdaten/korrespondenz liegen und zahlreicher Rüstungs-/IT-firmen für z.B. die Chinesen durchaus wertvoll. Und so wie es klingt werden diese Schlüssel in einem Umfeld vorgehalten wo man nicht einfach mit einem USB-Stick rausgeht - sondern erst einmal alles vom Internet separiert ist. Wie bekommt man jetzt so einen Schlüssel raus? In dem man den hauseigenen Müllschlucker (für Daten) nutzt.

 

[paokara]

Microsoft wusste also nicht, dass im Crash-Dump ein Signaturschluessel vorhanden war. Doofe Frage vielleicht, aber woher wusste es dann die Hackergruppe? Haben die einfach auf gut Glück die Dumps analysiert?

 

[MDM]

einer chinesischen Hackergruppe namens Storm-0558

Ist das eigentlich gesichert, dass es Chinesen waren? Ich habe mein Wissen ja nur aus James-Bond-Filmen, aber selbst ich bin in der Lage, per VPN meinem Gegenüber vorzutäuschen, dass ich in der Türkei bin, um günstig Netflix zu ziehen...

 

[guillome]

Die eigentliche Schwäche ist wie immer der Faktor Mensch. Die meisten erfolgreichen Angriffe mit extrem hohen Schaden verursachten im Endeffekt immer irgendwelche Personen aus dem betroffenen Unternehmen selbst die das Tor erst richtig für die Gegenseite geöffnet hat.

 

[Valhal]

Ich finde die Story von MS nachvollziehbar. Eine Hacker-Truppe analysiert natürlich immer Crash-Dumps von Produktions-Systemen, wenn die irgendwo rumliegen, weil man dadurch weiter Sicherheitslücken (im Code) finden kann und wie hier auch zufällig noch wichtige/geheime Daten.

Microsoft verschweigt aber das allerwichtigste Detail: Wie konnte das Mitarbeiter Konto kompromittiert werden? Trotz Multi-Faktor-Auth? Das hier wäre der echte Skandal, wenn die Multi-Faktor-Auth bei Microsoft nicht funktioniert oder wenn man sie umgehen kann.

 

[EdwinOdesseiron]

Ich frage mich wieso ihr Kommentar Schreiber euch nicht an Microsoft wendet und denen erklärt wie ihr das verhindert hättet.

Also manche Leute

Seriöse Unternehmen setzen keine Microsoft-Produkte für essentielle Dinge ein. Ich rede hier nicht von Client-Computern für Office Arbeiten, sondern von wichtigen Serversystemen.
Das ist Standard und wer es nicht so macht, der arbeitet nicht professionell. Ganz einfache Kiste.

 

[LochinSocke]

Microsoft verschweigt aber das allerwichtigste Detail: Wie konnte das Mitarbeiter Konto kompromittiert werden? Trotz Multi-Faktor-Auth? Das hier wäre der echte Skandal, wenn die Multi-Faktor-Auth bei Microsoft nicht funktioniert oder wenn man sie umgehen kann.

Hat vielleicht eine Word Datei zugesendet bekommen:

Hi Alex, schau dir das Textdokument mal an. Du mußt dann auf "Vertrauen" Klicken.

MfG Dein Chef

PS: Ich muß leider von der E-Mail meines nigerianischen Nachbarn schreiben, da mein Windows abgestürzt ist. :/

 

[_roman_]

und welche Alternative gibt es als Cloudanbieter in diesem Ausmass wie MS mit Azure?

Alternativen gibt es genug.

Nur muss es immer der Marketing Hype sein?
Alles in die Cloud, Corona, Krieg, Frame Generation, DLSS, Raytracing, APPLE, Elektro Autos, ...

 

[M@C]

Ich frage mich wieso ihr Kommentar Schreiber euch nicht an Microsoft wendet und denen erklärt wie ihr das verhindert hättet.

Also manche Leute

Die meisten hier haben noch nie an einem richtig grossen Produktivsystem gearbeitet.
Natürlich ist man hier hinterher schlauer und es sind auch grosse Fehler gemacht worden - aber so einfach ist das alles dann doch nicht. Als Verantwortlicher muss man hier an extrem viele Faktoren denken.
Nicht falsch verstehen: es darf trotzdem auf keinen Fall passieren, ähnlich zu einem GAU in einem AKW.

 

[M@tze]

Die sollen genau im Dump dieses Mitarbeiters den Goldenen Schlüssel zur ganzen Cloud gefunden haben?
Statt das Problem zu fixen, wird nur dran rum gedockert das nächstes mal vielleicht doch wieder ein Schlüssel im Dump landet.
Wieso der Schlüssel nicht in einem HSM

Noch mal den Artikel lesen?! Der Key war nicht im Dump des Mitarbeiters, über den kamen sie nur in die Debugging Umgebung rein. Das war auch nicht der Key für die ganze Cloud, sondern ein Signierkey. Es wird "gedoktert" (dilettantisch versucht ein Patient zu heilen), nicht "gedockert" - hat nix mit Docker Containern zu tun. Die Probleme wurden gefixt, nach Aussagen von MS. Ob der Key selber in einem HSM lag oder nicht, ist nicht bekannt. Er wurde ja aus unbekannten Gründen an den Crashdump angehangen - wo er davor aufbewahrt wurde ist (uns) unbekannt.

die wussten, wo sie welche Dateien finden können

Nein, das war sicher ein Zufallsfund und die werden selber überrascht gewesen sein. Die wollten nur die Debuggingdaten.

• In der Cloud stürzen Prozesse wohl regelmäßig ab.
• So regelmäßig, dass die Crashdumps gleich automatisch exportiert werden müssen.

Regelmäßig - woraus liest Du das? Wenn ein wichtiges System (wie ein Signiersystem) abstürzt, wird natürlich ein Crashdump zur Analyse gezogen um den Fehler zu finden. Oder denkst Du MS denkt "Uups, da haben wir wohl ein Problem und müssen auf einen Patch von MS warten. Moment mal, das sind wir ja selber...". Für die Fehleranalyse benutzt Du den Crashdump, dass der Key da reinkam ist nicht beabsichtigt gewesen und angeblich durch eine Race-Condition ausgelöst worden. Diese Fehler sind extrem schwer zu finden und können teilweise lange im Code existieren. ohne dass diese bei Tests auffallen. Nur wenn verschiedenste Vorraussetzungen gegeben sind, passiert der Fehler. ZBsp. zwei Funktionen in zwei Threads greifen auf eine Ressource zu und es ist immer so, dass erst Thread A zugreift, dann Thread B (A schreibt, B liest oder so), aber wegen irgendeiner anderen Gegebenheit greift aller 100 Jahre mal zuerst Thread B zu bevor A geschrieben hat. B liest dann entweder den falschen, alten Wert oder greift eventuell ins Leere und wir haben eine NullPointerException - B war schneller - daher Race-Condition.

Die Crashdumps werden von der Produktivumgebung in die Debuggingumgebung exportiert. In dieser wird die Fehleranalyse vorgenommen - ganz normal. Du fängst ja nicht an, auf dem Prodsystem zu debuggen...

Ich finde die Story von MS nachvollziehbar. Eine Hacker-Truppe analysiert natürlich immer Crash-Dumps von Produktions-Systemen, wenn die irgendwo rumliegen, weil man dadurch weiter Sicherheitslücken (im Code) finden kann und wie hier auch zufällig noch wichtige/geheime Daten.

So sieht es aus! Was gibt es besseres für eine Hackertruppe, als die Debuggingumgebung zu infiltrieren? Da findet man Crashdumps, also Abstürze durch Codefehler und damit die Wahrscheinlichkeit Schwachstellen zu finden, die noch gar nbicht bekannt / gefixt sind - Zero Day Exploits. Der Key war da nur "Beifang".

Ob das jetzt wirklich "alles" war, was passiert ist und wie das Unternehmenskonto kompromittiert werden konnte (Phishing, ...) wissen wir nicht und wird MS sicher auch nicht in der Öffentlichkeit ausbreiten.

 

[Fliz]

Das Problem ist ja man kann nicht mehr ohne Cloud.. Man wird quasi von MS erpresst gezwungen, Azure zu benutzen..
Eine Firma, die so handelt, sollte ihr Produkt dann auch im Griff haben. Ich glaube so langsam, das es zuviel wird für MS, das zu überblicken..

 

[dh9]

Selbst als Admin für diverse Azure-Tenants, wüsste ich nicht wo, wie, was ich überprüfen soll um einen Angriff per Master-Schlüssel auf die Schliche zu kommen. Und ehrlich gesagt ist das Microsofts Aufgabe, die werden dafür bezahlt ¯\(ツ)/¯

Der Witz ist ja, dass MS dem Enduser (Admin) diese Infos in den Logs gar nicht angezeigt hat. Jetzt hat ein US Gericht sie dazu verpflichtet. Wofür man also bisher eine Azure P2 Lizenz (oder so) gebraucht hat, bekommt man dieses Log jetzt kostenlos und darf dann selber suchen. Auf Github gibt es auch Querys, die man fuer dieses "Problem" nutzen kann.

Problem ist nur, dass die Angreifer sich in den jeweiligen Azure Tenants schon persistiert haben könnten.

Edit: hier ist ein Artikel auf Bleeping Computer zum Thema.

 

[IBISXI]

So stümperhaft und unverantwortlich Microsoft mit dem Debakel umgegangen ist bzw umgeht weiß ich ehrlich gesagt nicht, ob ich ihnen die Story abkaufen soll.

Vor allem die Kommunikation war/ist schlecht.

und welche Alternative gibt es als Cloudanbieter in diesem Ausmass wie MS mit Azure?

OMG wie haben nur bis 2010 gearbeitet, bevor die Cloud im großen Stil aufkam?

Wenn man sich mal abhängig gemacht hat, ist es nicht mehr so einfach. Das ist klar.

Aber das ist eine riesen Blamage für MS. Ähnlich wie ein Supergau im AKW

Nur ohne Konsequenzen.
Passiert das einem mitteständischen EDV Dienstleister, kann er zumachen.
Hat sich bei Microsoft überhaupt jemand entschuldigt?

Die sind schon lange "to big to fail".

 

[Termy]

Vor allem die Kommunikation war/ist schlecht.

Die war auf jeden Fall schlecht, ja.
"Vor allem" finde ich aber absolut haarsträubend, dass das ganze kompromittierte System einfach weiter betrieben wird als wäre nix gewesen. Im Prinzip muss jeder einzelne Tenant als kompromittiert angesehen werden.

 

[AlphaKaninchen]

MS als Cloudanbieter ist halt auch ein extrem schmackhaftes Opfer. Und so gut sind sie dann wohl nicht, das ausgleichen zu können.

Ich glaube ja das niemand so gut sein kann, das er nicht gehackt wird wenn er solch eine große Zielscheibe wie die großen Cloudanbieter darstellt. Alles eine Frage der Zeit.

Ergänzung (8. September 2023)

So stümperhaft und unverantwortlich Microsoft mit dem Debakel umgegangen ist bzw umgeht

Das ist in meinen Augen das eigentlich Problem...

 

[flaphoschi]

Regelmäßig - woraus liest Du das?

In der Tat, wenn man den Blog liest scheint es wohl eher eine manuelle Kopie des Crashdumps gewesen zu sein. Ich bin wohl zu sehr daran gewoehnt, dass Software gerne Crashdumps automatisiert sammeln moechte.

 

[Hylou]

Ganz einfache Kiste.

Ah klar.
Ich wusste nicht das es Internationale Gesetze gibt die das vorschreiben. Ich danke dir für die Info .

 

[flaphoschi]

Für die Fehleranalyse benutzt Du den Crashdump, dass der Key da reinkam ist nicht beabsichtigt gewesen und angeblich durch eine Race-Condition ausgelöst worden. Diese Fehler sind extrem schwer zu finden und können teilweise lange im Code existieren. ohne dass diese bei Tests auffallen.

Kann ich bestaetigen HIDAPI fuer MacOS. Sollte Threadsafe sein laut Originalautor - ist sie nicht.
Hat mich lange beschaeftigt.

Schwieriger wird es auch dadurch, das Logs, Asserts und Debuggingwerkzeuge dann andere Fehlerursachen melden.

 

[AlphaKaninchen]

Das hätte auch mit GCloud, AWS, oder anderen passieren können.

Das Problem ist halt bei Cloud das man nur einen Hacken muss, früher musste man zumindest noch bei jedem einzeln einbrechen. Aber auch da hatte man schon eine "Monokultur" in der IT, und genauso wie Monokulturen aus Fichten dem Borkenkäfer zum Opfer fallen, sind Software Monokulturen ein gefundenes Ziel für Hacker...