1. Was ist passiert
Laut Microsoft ist es einer chinesischen Hackergruppe mit dem Namen Storm-0558 gelungen, einen Microsoft Account (MSA) Consumer Signing Key zu erlangen. Mit diesem MSA Consumer Signing Key wurden gefälschte Authentifizierungstoken für Azure AD Enterprise und MSA Consumer erstellt, um Zugriff auf OWA und Outlook.com zu erhalten. Dies war aufgrund eines Fehlers im Code von Microsoft möglich, da der Signing Key zwar als inaktiv deklariert wurde, die Anwendungen aber weiterhin der Signatur vertrauten.
Obwohl der Schlüssel ausschließlich für MSA-Konten bestimmt war, führte ein Validierungsproblem dazu, dass dieser Schlüssel als vertrauenswürdig für das Signieren von Azure AD-Tokens angesehen wurde. Mit dem gefälschten Token konnte Storm-0558, über einen legitimen Client-Flow, auf die OWA-API zugreifen, um ein Token für Exchange Online, von der von OWA verwendeten GetAccessTokenForResource-API, abzurufen. Aufgrund eines Designfehlers war es möglich einen neue Zugriffstoken zu erstellen, indem ein zuvor von dieser API ausgestellter Token präsentiert wurde.
1.1 Wer war betroffen?
Nach Hinweisen von Kunden auf verdächtige Verbindungen, leitete Microsoft am 16. Juni 2023 eine Untersuchung der anomalen E-Mail-Aktivitäten ein. In den folgenden Wochen ergaben die Untersuchungen von Microsoft, dass Storm-0558 seit dem 15. Mai 2023 auf E-Mail-Konten von etwa 25 Organisationen in der öffentlichen Cloud zugegriffen hat, darunter auch Regierungsbehörden.
1.2 Was war betroffen?
Nach Angaben von Microsoft wurde nur auf Exchange Online/Outlook-Postfächer zugegriffen. Die Angreifer waren aber theoretisch auch in der Lage, auf andere Office-Anwendungen, wie SharePoint und Teams zuzugreifen. Solche Zugriffe sind jedoch nicht dokumentiert. Darüber hinaus sind alle Anwendungen von Drittanbietern betroffen, die dem MSA-Signaturschlüssel vertrauten.
1.3 Timeline des Incidents
2. Ist es jetzt sicher?
Ende Juni schloss Microsoft die Sicherheitslücken, erstellte neue Tokens und erklärte die alten für ungültig:
– Am 26. Juni wurde OWA so konfiguriert, dass von der GetAccessTokensForResource-API ausgegebene Token nicht mehr zur Erneuerung akzeptiert werden, wodurch der Missbrauch von Token-Erneuerungen eingeschränkt wurde.
– Am 27. Juni blockierte Microsoft die Verwendung von Tokens, die mit dem erworbenen MSA-Schlüssel signiert waren, um weitere Aktivitäten von Bedrohungsakteuren im E-Mail-Verkehr von Unternehmen zu verhindern.
– Am 29. Juni tauschte Microsoft den Schlüssel vollständig aus, um zu verhindern, dass Bedrohungsakteure ihn weiterhin zum Fälschen von Tokens verwenden können. Darüber hinaus wurden alle MSA-Signaturen, die zum Zeitpunkt des Vorfalls gültig waren, einschließlich des von den Bedrohungsakteuren erworbenen MSA-Schlüssels, für ungültig erklärt.
– Am 3. Juli sperrte Microsoft die Verwendung des Schlüssels für alle betroffenen Kunden, um die Verwendung bereits ausgegebener Tokens zu verhindern.
Laut Microsoft sind Kunden nicht betroffen, sofern sie nicht bereits von Microsoft kontaktiert wurden. Ebenso berichtet Microsoft, dass alle Abwehrmaßnahmen gegen diese Angriffe für alle Kunden erfolgreich implementiert wurden und keine weiteren Maßnahmen seitens der Kunden erforderlich sind.
Unabhängige Sicherheitsforscher behaupten jedoch, dass dies nicht unbedingt der Fall ist. Obwohl Microsoft die Lücken in seiner Infrastruktur geschlossen hat, ist es möglich, dass die Angreifer die Zugänge genutzt haben, um weitere Zugriffsmöglichkeiten zu schaffen. Des Weiteren müssen Drittanwendungen daraufhin überprüft werden, ob der Schlüssel auch für diese entfernt wurde. Sofern die Schwachstelle ausgenutzt werden konnte, ist das Schadenspotenzial derzeit schwer abzuschätzen. Durch ein „Lateral Movement“ könnten Angreifer bereits Hintertüren für einen späteren Zugriff eingerichtet haben. Sollte festgestellt werden, dass dieser MSA Consumer Signing Key zum Signieren von Authentifizierungstokens verwendet wurde, wird empfohlen die Umgebung auf verdächtige Aktivitäten / Ereignisse zu untersuchen.
3. Wie kann man feststellen, ob man betroffen ist?
Hier gibt es mehrere Möglichkeiten. Zunächst sollte eine Übersicht erstellt werden, welche Anwendungen im Unternehmen von der Lücke betroffen sein könnten. Dazu müssen die Applikationen identifiziert werden, die Personal Microsoft Accounts und Accounts aus jedem Organisationsverzeichnis als Accounttypen zulassen. Sind diese Applikationstypen vorhanden (Microsoft Applikationen oder Applikationen von Drittanbietern) und nutzen diese die Entra ID (Azure AD) als zentralen Identity Provider, sollte hier über die Logs weitere Forensik betrieben werden.
Zum einen kann ein möglicher Zugang, über die Microsoft Purview Premium Logs, geprüft werden. Diese werden ab September 2023 für alle Kunden kostenlos ausgerollt. Möchte man feststellen, ob im Zeitraum vom 15.05. bis heute verdächtige Aktivitäten stattgefunden haben, ist dies nur für Nutzer möglich, die in diesem Zeitraum eine Microsoft 365 E5 Compliance oder Office 356 E5 Lizenz hatten.
Zusätzlich zu den Purview Logs, sollten auch die Logs von Drittanwendungen überprüft werden, um festzustellen, ob Anmeldungen über Token stattgefunden haben, die mit dem kompromittierten Schlüssel signiert wurden.
Ein weiterer Hinweis auf mögliche Storm-0558-Aktivitäten im Unternehmen kann ggf. über die „Indicators of Compromise“ (IOCs) erfolgen. Sofern die SignInLogs aus der Entra ID (Azure AD) vorgehalten werden, kann hier gezielt nach Aktivitäten von bekannten Storm-0558 IP-Adressen gesucht werden.
4. Wenn man betroffen ist, was sind die nächsten Schritte?
Zunächst sollte geprüft werden, welche Anwendungen weiterhin eine Anmeldung mit den kompromittierten Tokens erlauben. In diesen Applikationen muss dann sichergestellt werden, dass das entsprechende Zertifikat für ungültig erklärt wird und eine korrekte Verbindung zu den Microsoft Signaturlisten eingerichtet ist.
Weiterhin ist zu prüfen, ob in den Microsoft- oder Drittanwendungen unerwünschte Zugriffe eingerichtet wurden, die von Angreifern weiterhin genutzt werden können, um Schaden anzurichten.
Sollten Sie zu diesem Thema noch Fragen haben oder Unterstützung bei der Prüfung bzw. Umsetzung benötigen, können Sie sich gerne an uns und unsere Cybersecurity-Experten wenden.
Quellen:
[1] Mitigation for China-based threat actor activity – Microsoft On the Issues
[2] Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email | MSRC Blog | Microsoft Security Response Center
[3] Enhanced Monitoring to Detect APT Activity Targeting Outlook Online | CISA
[4] Analysis of Storm-0558 techniques for unauthorized email access | Microsoft Security Blog
[5] How Microsoft is expanding cloud logging to give customers deeper security visibility | Microsoft Security Blog
