Azure Signing-Key-Klau
Was ist denn nun schon wieder ein Signing-Key? Und wieso ist er blau?
Azur ist eine schöne Farbe citation needed. Azure ist auch der Name der Cloud-Infrastruktur, die Microsoft an seine Kunden vermietet. Ich habe zudem den Verdacht, dass blau, was “Azure” grob übersetzt bedeutet, manchmal auch den Zustand einiger der dortigen Angestellten treffend beschreibt.
In der Azure-Cloud können alle Arten von Diensten betrieben werden, manche Firmen bilden inzwischen nahezu ihre gesamte Infrastruktur in der Cloud ab - bei Microsoft sowie anderen Anbietern. Doch Azure hat durch die enge Verknüpfung mit dem Windows- und Office-Ökosystem für viele Firmen mit Microsoft-Infrastruktur einen gewissen Reiz.
Ein Signing-Key wird in dieser Infrastruktur verwendet, um Anwendungen oder beispielsweise Zugangstoken digital zu signieren, also als vertrauenswürdig zu markieren. Derartige Signing-Keys gibt es in verschiedenen Abstufungen, von solchen, die nur Microsoft selbst einsetzt um die eigene Software verifizierbar zu machen bis hin zu solchen, die einzelnen Personen erlauben, ihre eigenen Daten zu signieren. Zugangstokens werden verwendet, um nachzuweisen, dass man Zugriff auf bestimmte Daten wie zum Beispiel ein Postfach oder abgelegte Dateien hat. Mittels eines Signing-Keys werden diese Tokens beglaubigt und sollen damit fälschungssicher sein.
Von Schlüsseln und Schlössern
Mitte Juni des Jahres 2023 erlangte Microsoft Kenntnis von seltsamen Vorgängen in der eigenen Infrastruktur. Eine US-Amerikanische Behörde meldete Zugriffe auf die in der Azure-Cloud liegenden Postfächer ihrer Mitarbeiter, die nicht auf reguläre Zugriffe der Angestellten zurückzuverfolgen waren. Die verdächtigen Zugriffe fanden sie in Protokolldaten, die nur Unternehmen und Nutzern zur Verfügung standen, die dafür extra bezahlten.
Schnell wurde klar: Da waren Dritte am Werk, die sich auf irgendeinem Weg Zugriff auf die eigentlich geschützten Daten verschafft hatten. Diese wurden zwar von einer US-Behörde gemeldet, jedoch stellte sich heraus, dass sie es primär auf Europäische Regierungsbehörden und deren Daten in der Azure-Cloud abgesehen hatten.
Doch wie hatten sie das geschafft? Hatten sie Zugangsdaten entwendet oder Accounts durch Brute Force-Angriffe geknackt? Das wäre deutlich sichtbar gewesen und sehr auffällig gewesen. Hatten sie Zugangsdaten aus den zahlreichen online veröffentlichen Breach-Sammlungen verwendet? Auch das ließ sich relativ schnell ausschließen.
Stück für Stück kristallisierte sich heraus, dass offenbar ein interner Signing-Key von Microsoft verwendet wurde, um den Angreifern gültige Zugangstoken für diverse OWA-Zugänge (Outlook Web Access) und Mailpostfächern auf outlook.com auszustellen. Mithilfe dieser Zugangstoken konnten jene nun komplette Postfächer und Datensammlungen abziehen, die eigentlich nur bestimmten Personenkreisen zugänglich sein sollten. Dass die Täter sich gerade Regierungsbehörden als Ziel ausgesucht haben könnte darauf hindeuten, dass es sich um staatlich kontrollierte oder zumindest beauftragte Hacker handeln könnte - das nachzuweisen ist indes schwierig.
Ein Schlüssel für meine Daten, Deine Daten, alle Daten
Wie ein derartig mächtiger Signaturschlüssel einem Unternehmen abhanden kommen konnte, das sich selbst als einen der wichtigsten Identity Provider sieht und zudem einer der drei weltweit größten Cloud-Provider ist, bleibt rätselhaft. Microsoft bestätigte Erkenntnisse der Sicherheitsforscher in Microdosierung und veröffentlichte selber nur Microinformationen. Das Unternehmen spricht von einem “Validation Issue”, das dem eigentlich nur für einen bestimmten Zweck und einen eingeschränkten Nutzerkreis verfügbare Token so umfangreiche Rechte gewährte. Wo und wie der Signing-Key abgegriffen wurde schien auch Microsoft selbst nicht bekannt zu sein. Daran sollte sich auch in den Folgemonaten nichts ändern.
Zwischenzeitlich hatte das auf Cloud-Sicherheit spezialisierte Unternehmen Wiz sich der Thematik angenommen und auf eigene Faust recherchiert. Der gestohlene Schlüssel konnte im Rahmen der Recherche identifiziert und mit Listen von bekannten Signaturschlüsseln von Microsoft und deren Gültigkeitsraum abgeglichen werden. Und als wäre das Abhandenkommen eines vertraulichen Signaturschlüssels nicht schon schlimm genug, platzte an dieser Stelle die nächste Bombe: Der besagte Schlüssel hatte nicht nur bei Exchange Online, sondern nahezu überall im Azure-Ökosystem Anwendungsmöglichkeiten. In Wahrheit handelte es sich nämlich laut Wiz um einen Signing Key für das komplette Azure AD (AAD), den Verzeichnisdienst von Microsoft, der Zugänge zu nahezu jedem Cloud-Dienst von Microsoft verwaltet. Damit gewährte er sogar selbst betriebenen AAD-Instanzen der Microsoft-Kunden, solange diese dem zentralen AAD vertrauten.
Microsofts Reaktionsträgheit
Zwar hatte Microsoft den fraglichen Signing Key zwischenzeitlich gesperrt, doch ist an dieser Stelle unklar, an wie vielen Stellen unberechtigter Weise auf geschützte Daten zugegriffen wurden. Das entsprechende Logging, das diese Frage hätte beantworten können, stand nur Kunden zur Verfügung, die extra dafür bezahlten. Der Großteil der möglicherweise betroffenen Kunden dürfte die entsprechende Option nicht dazugebucht haben. Zwar stellt Microsoft diese Funktion inzwischen allen Azure-Nutzern zur Verfügung, doch bereits erfolgte Zugriffe und Datenabflüsse sind damit trotzdem nicht mehr feststellbar.
Drei Monate nach dem Bekanntwerden der ersten illegalen Zugriffe, im September 2023, veröffentlichte das US-Außenministerium erste Zahlen zu den bis dato nachgewiesenen Datenabflüsse: Rund 60.000 Mails wurden wurden alleine von zehn Accounts des State Department abgezogen. Doch das dürfte nur die Spitze des Eisbergs gewesen sein.
Nahezu zeitgleich veröffentlichte Microsoft einen Blog-Eintrag, in dem beschrieben wurde, wie es zu dem Schlüsseldiebstahl kam - im April 2021. Offensichtlich war der Abfluss dieses mächtigen und besonders schützenswerten Stücks Software seinerzeit niemandem aufgefallen. Der verlinkte Blog-Eintrag musste zudem laut Heise Online im März 2024 von Microsoft korrigiert werden, da im Ursprünglichen Beitrag nachweislich Falschbehauptungen zur Ursache des Vorfalls aufgestellt wurden.
Nachspiel für Microsoft
Anfang April 2024 veröffentlichte nun das Cyber Safety Review Board der US-Behörde CISA (Cybersecurity and Infrastructure Security Agency), das auch für die Aufdeckung der Falschaussagen in Microsofts Blog verantwortlich zeichnet, seinen finalen Bericht in dieser Sache. Der Inhalt dürfte für Microsoft schmerzhaft sein, dem Konzern wird Versagen auf verschiedensten Ebenen vorgeworfen. Die CISA empfiehlt den Redmondern zudem, zuerst ihre Sicherheit zu verbessern, bevor weiter an neuen Cloud-Diensten gearbeitet wird.
Auch ein weiterer Angriff im Vorjahr auf Microsoft, der Anfang des Jahres bekannt wurde, bestärkte die CISA in ihrer Ansicht, Microsoft werde seiner Verantwortung in Bezug auf IT-Sicherheit nicht gerecht. Wie Microsoft auf die daraus resultierenden Forderungen reagiert steht derzeit noch in den Sternen.