Der Artikel «Gefährlich wenig Swissness» von Adrienne hat mich auf ein sehr spannendes Dokument des amerikanischen Cyber Safety Review Board aufmerksam gemacht: Review of the Summer 2023 Microsoft Exchange Online Intrusion (pdf, 2,2MB).
<TLTR>
Sämtliche Microsoft Dienste waren (mindestens) zwischen Mai und Juni 2023 für die Hackergruppe Storm-0558 zugänglich. Gemerkt hat das massive Sicherheitsproblem aber nicht Microsoft selbst, sondern die amerikanische Regierung als Kunde.
</TLTR>
Der Bericht liest sich wie ein spannender Cyber-Roman, doch leider ist es Realität. Was ist passiert? Zugang zu IT-Systemen erfolgt über kryptographische Schüsselpaare. Der eine Teil ist öffentlich, der andere ist privat. Geht der private Schlüssel verloren, steht die Tür offen (bis das «Schloss ersetzt» wird).
Bei Microsoft ist ein solcher privater Schlüssel unbemerkt abhandengekommen. Leider war er eine Art Passepartout mit Zugriff auf fast alle Systeme und Dienste von Microsoft inklusive der Zugänge von Mitarbeitenden von Microsoft und Kunden der höchsten Sicherheitsstufe. So etwas kann passieren? Eigentlich nicht und normalerweise gibt es zusätzliche Absicherungen. Doch wie der Bericht im Detail erklärt, hat Microsoft in mindestens drei Punkten versagt.
- Der verlorene Schlüssel war ausschliesslich für den Zugang zu «consumer products» gedacht. Wegen einem nicht entdeckten Programmierfehler funktionierte dieser aber für alles.
- Mit dem Schlüssel konnte man ausserhalb von Microsoft neue Zugänge (authentication tokens) erstellen. Gewollt oder nicht: ein massiver konzeptioneller Fehler.
- Schlüssel, so auch der verlorene der aus dem Jahr 2016, haben (theoretisch) eine Lebensdauer. Eigentlich war dieser zum Zeitpunkt der kriminellen Nutzung schon abgelaufen. Wegen internen Problemen hatte Microsoft die «key rotation» aber in 2021 ersatzlos abgestellt.
Zusätzlich zu den technischen Problemen stellt der Report auch ein sehr schlechtes Zeugnis bei der Kommunikation aus.
Der erste Blog-Post am 11. Juli 2023 spielte das Problem noch runter und wurde von einer externen Sicherheitsfirma öffentlich bemängelt, weshalb Microsoft am 14. Juli nachbessern musste. Erst am 6. September 2023 publizierten Microsoft dann ein «harmloses» Verlustszenario, welches aber nie mit Fakten unterlegt werden konnte. Trotzt Intervention des amerikanischen Staats hat sich Microsoft über 6 Monate geweigert die Fehlinformation schliesslich zu korrigieren. Übrigens haben sie – trotzt 46 Hypothesen – nie herausgefunden werden, wie der Schlüssel gestohlen wurde und weshalb sie es nicht gemerkt haben.
Im Rahmen des Vorfalls wurde auf über 500 Email-Konten (von 22 Kunden, inklusive dem Amerikanischen Staat) zugegriffen. Microsoft beschloss die User über den massive Einbruch in ihre Infrastruktur durch eine folgende Mail zu informieren… wer von Euch würde sowas lesen und ernst nehmen?
Im Bericht gibt es noch viele spannende Details inklusive 25 konkrete Massnahmen die Sicherheit und die Sicherheitskultur bei Microsoft zu verbessern. Starker Tobak…