kgborn
Goto Top

Microsoft Cloud-Dienste: Wenn Microsoft ein AAD-Schlüssel entfleucht, ist Polen für Storm-0588 offen

Anfang Juli 2023 musste Microsoft eingestehen, dass mutmaßlich chinesische Angreifer der Storm-0588 genannten Gruppe, Konten von 25 Organisationen (Regierungen etc.) in Outlook Online gehackt hatten. Möglich war dies, weil ein inaktiver MSA-Key in die Hände der Gruppe gelangte (wie die da dran kamen, wird noch untersucht). Mit dem MSA-Key, der für Consumer-Dienste vorgesehen war, konnten die Hacker Sicherheitstokens erstellen, die auch für Azure Dienste nutzbar waren. Das hat Microsoft schrittweise -verklausuliert - eingestanden und auch erklärt, das "die Bugs im Code, die diese eigentlich nicht zulässige Authentifizierung nicht abgewiesen haben, nun beseitigt seien".

Sicherheitsforscher von Wiz haben sich den Fall näher angesehen und schreiben, dass es ein geklauter AAD-Schlüssel gewesen sei, der von Storm-0588 genutzt wurde. In Folge standen den Hackern eigentlich alle Azure AD-Dienste (modern EntraID-Dienste) und Apps, die eine Microsoft-Anmeldungen nutzen, offen. Administratoren sollten ihre Azure-Instanzen auf Spuren einer Kompromittierung untersuchen. Ich habe mal einige Informationen in folgendem Artikel zusammen getragen und auf den Blog-Beitrag von Wiz verlinkt.

GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten

Der Fall zeigt: Wer die Cloud-Infrastruktur kompromittieren kann, der hat den Jackpot.

Content-ID: 7925988484

Url: https://administrator.de/contentid/7925988484

Printed on: December 12, 2024 at 00:12 o'clock

beidermachtvongreyscull
beidermachtvongreyscull Jul 23, 2023 at 18:04:11 (UTC)
Goto Top
###e passiert Günter. In der Cloud ist es natürlich viel interessanter.
commodity
commodity Jul 24, 2023 updated at 08:09:36 (UTC)
Goto Top
Microsoft und andere profitieren vom Abstumpfungsprozess, wie er auch im Vorpost zum Ausdruck kommt.

Heute ist es schon fast keine Nachricht mehr, wenn mal wieder 100k Datensätze oder mehr geklaut wurden. Es wird zum Normalzustand. Anwender verstehen den Hintergrund nicht und solange sie nicht unmittelbar betroffen sind, stört es sie meist auch nicht. Folglich auch für die großen Medien keine marktfähige Nachricht.

Natürlich passiert auch in großen Unternehmen Mist, aber deren Strukturen müssen so aufgebaut sein, dass der Mist abgefangen wird, bevor er sich auswirkt. Das findet bei MS offenbar nicht (mehr) statt. Dazu ein treffender Satz von Dir in den Kommentaren Deines Artikels:
Zur Schlampigkeit von MS oder Missachtung von Sicherheitsvorkehrungen: Zum ersten Prädikat schaust Du dir die Erkenntnisse der letzten drei MS-Jahre in Bezug auf Produkt- und Update-Releases samt der "stattgefundenen MS-QS" an und ziehst deinen eigenen Schluss.

Viele Grüße, commodity