Murphys Law in Aktion: So wurden Microsofts E-Mail-Systeme gehackt
Microsoft hat jetzt eine Analyse des Vorfalls abgeschlossen, bei dem chinesische Angreifer Zugang zu den E-Mail-Konten diverser US-Regierungsbehörden erhielten. Eine Verkettung einer ganzen Reihe von Fehlern und Schlampereien führte letztlich zu dem Problem.
Eigentlich sollte dieser Key auf einem besonders abgeschotteten System in einer Abteilung liegen, zu denen nur Mitarbeiter mit erfolgter Sicherheitsprüfung Zutritt haben. Dedizierte Konten, Workstations mit sicherem Zugang und Multi-Faktor-Authentifizierung mit Hardware-Token-Geräten sollen Datenlecks nach Außen verhindern.
Einer der in der Abteilung eingesetzten Rechner stürzte allerdings im April 2021 ab und legte dabei einen Speicher-Dump an. In diesem dürften eigentlich keine sensiblen Informationen enthalten sein - interne Mechanismen in Windows sorgen dafür, dass eventuell problematische Bereiche geschwärzt werden. Das war hier aber nicht der Fall, so dass der Dump mit dem MSA-Schlüssel letztlich zur weitergehenden Analyse in einen anderen Bereich des Microsoft-Netzwerkes transferiert wurde.
Selbst mit dem so abgegriffenen Key hätte aber eigentlich noch kein Zugang erfolgen dürfen - denn der MSA-Schlüssel war eigentlich für die Erstellung von Tokens für Privatnutzer-Accounts gedacht. Ein Fehler bei der Einbindung und Prüfung von Bibliotheken im Mail-System sorgte allerdings dafür, dass hier eine weitere Sicherheits-Barriere nur zum Schein vorhanden war.
Microsoft hat seine Erkenntnisse über den Vorfall öffentlich gemacht und auch erklärt, bereits Schlussfolgerungen gezogen zu haben. Die Fehler in der Software - von der freizügigen Gestaltung des Crash-Dumps bis zur Key-Zuständigkeit - seien inzwischen behoben worden. Und auch an den internen Prozessen habe man gearbeitet, hieß es.
Siehe auch:
Hochrangige Ziele
Hinter dem Angriff, auf den die Nutzer aufgrund von merkwürdigen Vorgängen in ihren Postfächern aufmerksam wurden, stand laut Microsoft eine Gruppe, die als Storm-0558 bezeichnet wird. Zu ihren Opfern gehörten unter anderem Handelsministerin Gina Raimondo und der US-Botschafter in China, R. Nicholas Burns. Dementsprechend war Microsoft hier im Zugzwang, in einer Untersuchung des Falles durch den US-Kongress Details herauszufinden und zu liefern.Eine Kette von Fehlern
Dem kam Redmond nun nach und es zeigte sich, dass es den Angreifern tatsächlich gelungen war, an einen Microsoft Account (MSA)-Schlüssel zu gelangen. Mit diesem können Zugangstoken erstellt werden, mit denen im Falle des Hacks der Zugang zu den Outlook-Accounts auf Microsofts Cloud-Infrastruktur möglich wurde. Die große Frage war also, wie Storm-0558 an diesen Key gelangen konnte.Eigentlich sollte dieser Key auf einem besonders abgeschotteten System in einer Abteilung liegen, zu denen nur Mitarbeiter mit erfolgter Sicherheitsprüfung Zutritt haben. Dedizierte Konten, Workstations mit sicherem Zugang und Multi-Faktor-Authentifizierung mit Hardware-Token-Geräten sollen Datenlecks nach Außen verhindern.
Einer der in der Abteilung eingesetzten Rechner stürzte allerdings im April 2021 ab und legte dabei einen Speicher-Dump an. In diesem dürften eigentlich keine sensiblen Informationen enthalten sein - interne Mechanismen in Windows sorgen dafür, dass eventuell problematische Bereiche geschwärzt werden. Das war hier aber nicht der Fall, so dass der Dump mit dem MSA-Schlüssel letztlich zur weitergehenden Analyse in einen anderen Bereich des Microsoft-Netzwerkes transferiert wurde.
Korrekturen bereits erfolgt
Irgendwann nach diesem Zeitpunkt konnte der Storm-0558-Angreifer erfolgreich das Unternehmenskonto eines Microsoft-Ingenieurs kompromittieren. Dieses Konto hatte wiederum Zugriff auf die Debugging-Umgebung mit dem Crash-Dump, der fälschlicherweise den Schlüssel enthielt und aus ungeklärten Gründen noch immer dort aufbewahrt wurde.Selbst mit dem so abgegriffenen Key hätte aber eigentlich noch kein Zugang erfolgen dürfen - denn der MSA-Schlüssel war eigentlich für die Erstellung von Tokens für Privatnutzer-Accounts gedacht. Ein Fehler bei der Einbindung und Prüfung von Bibliotheken im Mail-System sorgte allerdings dafür, dass hier eine weitere Sicherheits-Barriere nur zum Schein vorhanden war.
Microsoft hat seine Erkenntnisse über den Vorfall öffentlich gemacht und auch erklärt, bereits Schlussfolgerungen gezogen zu haben. Die Fehler in der Software - von der freizügigen Gestaltung des Crash-Dumps bis zur Key-Zuständigkeit - seien inzwischen behoben worden. Und auch an den internen Prozessen habe man gearbeitet, hieß es.
Zusammenfassung
- Chinesische Hackergruppe Storm-0558 erlangte Zugang zu US-Regierungs-E-Mail-Konten.
- Opfer waren u.a. Handelsministerin Gina Raimondo und US-Botschafter in China.
- Hacker gelangten an einen MSA-Schlüssel für Zugangstoken zu Outlook-Accounts.
- Schlüssel wurde durch Fehlern und Schlampereien in Microsofts Sicherheitssystem zugänglich.
- Kompromittierung des Kontos eines Microsoft-Ingenieurs ermöglichte Zugriff auf Schlüssel.
- Softwarefehler ermöglichten den Missbrauch des Schlüssels für Regierungsaccounts.
- Microsoft hat die Fehler behoben und interne Prozesse verbessert.
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Xbox-Sparte könnte zum Verkauf stehen: Microsoft soll Optionen prüfen
- Nur für 2 Tage: Tolle Weekend-Deals bei Media Markt und Saturn
- Windows 11: Microsoft spendiert Onboard-Apps große Funktionsupdates
- NASA: Astronauten für Artemis-III-Mission stehen fest, sorgen für Eklat
- Volkswagen-Konzernumbau: VW meldet "Erfolge" durch Stellenabbau
- In nur 24 Stunden: Anthropic Mythos gehackt - Zugriff global gesperrt
- WUSA-Bug in Windows 11: Microsoft liefert nach einem Jahr ein Update
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen