Microsoft rätselt, wie Hacker Azure AD-Signierschlüssel stehlen konnten
Vor kurzem wurde bekannt, dass chinesische Hacker sich mithilfe von echten Azure AD-Signierschlüsseln Zugriff zu den E-Mail-Servern verschiedener amerikanischer Behörden verschafft hatten. Microsoft rätselt aber noch immer, wie das gelingen konnte.
Klar ist, dass chinesische Hacker einen Signierschlüssel für inaktive Microsoft-Konten (MSA) gestohlen haben. Diese wurden dann verwendet, um in die Exchange Online- und Azure AD-Konten von rund zwei Dutzend Organisationen, einschließlich Regierungsbehörden, einzudringen. Infografik: Millionenschäden durch Datenlecks
"Die Methode, mit der der Akteur den Schlüssel erlangt hat, ist Gegenstand laufender Ermittlungen", räumte Microsoft in einem neuen Advisory ein. Der Vorfall war dabei vermutlich über einen Monat lang unentdeckt geblieben - daher ist das Ausmaß möglicher Manipulationen und Datendiebstahl auch noch nicht bekannt.
Microsoft begann bereits Mitte Juni mit der Untersuchung der Angriffe und fand heraus, dass die chinesische Cyberspionage-Gruppe Storm-0558 b dahinter steckt. Die Angreifer nutzten dazu gestohlene Azure AD-Signaturschlüssel, um neue Authentifizierungstoken zu erstellen, mit denen sie einfachen Zugriff erhielten. Einmal mit einem "legitimen" Zugang ausgestattet, konnten die Hacker dann E-Mails und Anhänge stehlen.
"Seitdem Microsoft den von einem Akteur erworbenen MSA-Schlüssel für ungültig erklärt hat, wurden keine schlüsselbezogenen Aktivitäten mehr beobachtet", erklärte das Microsoft-Sicherheits-Team. Weitere Informationen zu dem Vorfall stehen allerdings weiterhin nicht zur Verfügung - es bleibt daher auch noch unklar, inwieweit es Schwachstellen in Azure und Exchange Online gibt, die noch geschlossen werden müssen.
Siehe auch:
Sicherheitslücke "unauffindbar"
Laut einem neuen Bericht des Online-Magazins Bleeping Computer hat Microsoft auch Tage nach der Entdeckung des Zugriffs noch immer keinen Hinweis auf die Sicherheitslücke gefunden, die den Hackern Zugang zu den Servern verschaffte.Klar ist, dass chinesische Hacker einen Signierschlüssel für inaktive Microsoft-Konten (MSA) gestohlen haben. Diese wurden dann verwendet, um in die Exchange Online- und Azure AD-Konten von rund zwei Dutzend Organisationen, einschließlich Regierungsbehörden, einzudringen. Infografik: Millionenschäden durch Datenlecks
"Die Methode, mit der der Akteur den Schlüssel erlangt hat, ist Gegenstand laufender Ermittlungen", räumte Microsoft in einem neuen Advisory ein. Der Vorfall war dabei vermutlich über einen Monat lang unentdeckt geblieben - daher ist das Ausmaß möglicher Manipulationen und Datendiebstahl auch noch nicht bekannt.
Microsoft begann bereits Mitte Juni mit der Untersuchung der Angriffe und fand heraus, dass die chinesische Cyberspionage-Gruppe Storm-0558 b dahinter steckt. Die Angreifer nutzten dazu gestohlene Azure AD-Signaturschlüssel, um neue Authentifizierungstoken zu erstellen, mit denen sie einfachen Zugriff erhielten. Einmal mit einem "legitimen" Zugang ausgestattet, konnten die Hacker dann E-Mails und Anhänge stehlen.
Hacker ausgesperrt
Microsoft sperrte nach dem Bekanntwerden des Eindringens die Signierschlüssel für alle betroffenen Azure-Kunden Anfang Juli und erklärte, dass die Token-Replay-Infrastruktur der Angreifer abgeschaltet wurde. Man hat die Hacker so also aussperren können."Seitdem Microsoft den von einem Akteur erworbenen MSA-Schlüssel für ungültig erklärt hat, wurden keine schlüsselbezogenen Aktivitäten mehr beobachtet", erklärte das Microsoft-Sicherheits-Team. Weitere Informationen zu dem Vorfall stehen allerdings weiterhin nicht zur Verfügung - es bleibt daher auch noch unklar, inwieweit es Schwachstellen in Azure und Exchange Online gibt, die noch geschlossen werden müssen.
Zusammenfassung
- Chinesische Hacker erlangten Zugriff auf E-Mail-Server mithilfe von Signierschlüsseln.
- Microsoft weiß noch immer nicht, wie die Hacker an die Schlüssel kamen.
- Die Angreifer nutzten die Schlüssel, um neue Authentifizierungstoken zu erstellen.
- Microsoft hat die Schlüssel für alle betroffenen Kunden gesperrt.
- Es ist unklar, ob es noch Schwachstellen in Azure und Exchange Online gibt, die geschlossen werden müssen.
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen