Storm-0558 1

Wir fragen Microsoft zum neusten Storm-0558-Vorfall

In dem neuesten Sicherheitsvorfall bei Microsoft wurde durch die Hackergruppe Storm-0558 ein Cloud-Generalschlüssel entwendet, mit dem auch Kundendaten entschlüsselt werden könnten. Wir haben Microsoft dazu befragt und hier die Antworten veröffentlicht.

Die nachfolgende Anfrage haben wir auf Basis der Fragenvorschläge des Heise Security Teams erstellt.

Weitere Informationen zum Vorfall haben wir in diesem Blogartikel zusammengefasst.

Sehr geehrte Damen und Herren,

Ich beziehe mich auf den von Microsoft dokumentierten Vorfall, dass eine vermutlich chinesische Angreifergruppe namens “Storm-0558” einen Microsoft Signing Key entwendet und sich damit Zugriff auf Mails im Exchange Online mehrerer Regierungsbehörden verschafft hat (siehe Links).

Wir nutzen unter anderem Exchange Online, OneDrive/Sharepoint und Microsoft Teams. Nach unserem aktuellen Kenntnisstand hätte Storm-0558 unter Umständen auch auf unsere Microsoft-Cloud-Dienste zugreifen können. Also fragen wir uns:

– Hätte Storm-0558 mit dem gestohlenen Key prinzipiell auf unsere Microsoft-Cloud-Dienste bzw. die dort gespeicherten Daten zugreifen können? – Mit welchen Zugriffsrechten und Konsequenzen?

– Wie genau können wir das feststellen/ausschließen? Oder können Sie das kategorisch ausschließen? (Wenn ja, hätten wir dafür gerne eine technisch einleuchtende Begründung)

– Wie können wir selbst überprüfen, ob das versucht wurde und ob das eventuell sogar Erfolg hatte? Oder hat Microsoft das explizit überprüft? (Wenn ja, dann wüssten wir gerne wie und mit welchem Ergebnis.) Kann Microsoft das überhaupt prinzipiell überprüfen?

– Welche Vorkehrungen können wir treffen, dass das nicht in Zukunft auf ähnliche Art geschieht, beziehungsweise dass wir solche, nicht von uns autorisierten Zugriffe Dritter wenigstens bemerken? Wie wird uns Microsoft dabei unterstützen?

Wir beziehen uns dabei auf folgende Veröffentlichungen, die die oben genannten Fragen aufwerfen, aber leider nicht beantworten können:

https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/ https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/ https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/ https://www.heise.de/news/Microsoft-reagiert-auf-Online-Exchange-Fiasko-Mehr-Logs-fuer-alle-9222889.html https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html

Ich bitte Sie um eine schriftliche bzw. per Mail formulierte Antwort.

Vielen Dank und viele Grüße

Thomas Rosin

Wir haben diese Antwort erhalten:

Unsere Anfrage an Microsoft vom 02.03.2023

[…]

Basierend auf der Beschreibung der Anfrage, ist folgendes eine Antwort:

Microsoft hat einen Angriff eines in China ansässigen Bedrohungsakteurs abgewehrt, den Microsoft als Storm-0558 verfolgt und der auf Kunden-E-Mails abzielte. Storm-0558 zielt in erster Linie auf Regierungsbehörden in Westeuropa ab und konzentriert sich auf Spionage, Datendiebstahl und Zugriff auf Anmeldeinformationen.

Auf der Grundlage von Kundeninformationen vom 16. Juni 2023 leitete Microsoft eine Untersuchung anomaler E-Mail-Aktivitäten ein. In den nächsten Wochen ergab unsere Untersuchung, dass Storm-0558 ab dem 15. Mai 2023 Zugriff auf E-Mail-Daten von weniger als 25 Organisationen und eine kleine Anzahl zugehöriger Verbraucherkonten von Personen erhielt, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Zu diesem Zweck wurden gefälschte Authentifizierungstoken verwendet, um mithilfe eines erworbenen Signaturschlüssels für Microsoft-Konten (MSAs) auf Benutzer-E-Mails zuzugreifen.

Microsoft hat die Abwehr dieses Angriffs für alle Kunden abgeschlossen.

Unsere Telemetriedaten zeigen, dass wir Storm-0558 erfolgreich daran gehindert haben, mithilfe gefälschter Authentifizierungstoken auf Kunden-E-Mails zuzugreifen. Es ist keine Kundenaktion erforderlich. Wie bei allen beobachteten Aktivitäten nationalstaatlicher Akteure hat Microsoft alle betroffenen oder kompromittierten Organisationen direkt kontaktiert und ihnen wichtige Informationen zur Verfügung gestellt, die ihnen bei der Untersuchung und Reaktion helfen. Wir arbeiten weiterhin eng mit diesen Organisationen zusammen. Wenn Sie nicht kontaktiert wurden, zeigen unsere Untersuchungen, dass Sie nicht betroffen sind.

Microsoft arbeitet mit DHS, CISA und anderen zusammen, um betroffene Kunden zu schützen und das Problem zu beheben. Wir untersuchen und überwachen weiterhin die Aktivität von Sturm-0558.

Antworten auf zu erwartende Fragen:

F: Was ist das Problem?

A: Ein Bedrohungsakteur, der von Microsoft als Storm-0558 verfolgt wird, hat einen erworbenen Tokensignaturschlüssel für ein Microsoft-Konto (MSA) verwendet, um Token für den Zugriff auf E-Mail-Daten von Verbrauchern und Unternehmen zu fälschen.

F: Wie wurde dieses Problem erkannt?

A: Basierend auf den vom Kunden gemeldeten Informationen vom 16. Juni 2023 hat Microsoft eine Untersuchung anomaler E-Mail-Aktivitäten eingeleitet. In den nächsten Tagen ermittelten die Microsoft-Ermittler den Angreifer, seine Technik und die anvisierten Opfer.

F: Wann wurde das Problem behoben?

A: Das Problem wurde am 27. Juni 2023 in Exchange Online behoben, indem die Verwendung des Schlüssels blockiert wurde. Der Schlüssel wurde bis zum 29. Juni 2023 vollständig ungültig, was seine Verwendung in allen Systemen verhinderte. Am 3. Juli hat Microsoft die Verwendung vorhandener Token, die mit dem erworbenen Schlüssel in Outlook.com erstellt wurden, für ungültig erklärt.

F: Welche Schutzmaßnahmen gibt es, um sicherzustellen, dass dies nicht repliziert wird?

A: Im Rahmen der tiefgreifenden Verteidigung aktualisieren wir unsere Systeme kontinuierlich. Wir haben die Schlüsselausgabesysteme seit der Erstausgabe des erworbenen MSA-Schlüssels erheblich verbessert. Dazu gehören eine verstärkte Isolierung der Systeme, eine verfeinerte Überwachung der Systemaktivität und die Umstellung auf den gehärteten Schlüsselspeicher, der für unsere Unternehmenssysteme verwendet wird. Wir haben alle zuvor aktiven Schlüssel widerrufen und neue Schlüssel mit diesen aktualisierten Systemen ausgegeben. Unsere aktive Untersuchung deutet darauf hin, dass diese Härtungs- und Isolationsverbesserungen die Mechanismen stören, von denen wir glauben, dass der Akteur sie zum Abrufen von MSA-Signaturschlüsseln verwendet haben könnte. Weitere Informationen finden Sie in unserem Blog, Analyse von Storm-0558-Techniken für unbefugten E-Mail-Zugriff.

F: Wann wurde der MSA-Schlüssel erworben?

A: Während der Schlüssel jederzeit nach seiner Erstellung erworben werden konnte, ist die früheste beobachtete Verwendung des Schlüssels der 15. Mai 2023. Dies steht im Einklang mit der beobachteten Etablierung der Werkzeuge und der Infrastruktur des Akteurs. Die Ermittlungen dauern an.

F: Welche Microsoft-Dienste sind von diesem Problem betroffen?

A: Derzeit ist bekannt, dass nur Exchange Online und Outlook.com betroffen sind.

F: Wie viele Kunden sind betroffen?

A: Storm-0558 verschaffte sich Zugang zu E-Mail-Konten, die etwa 25 Organisationen, einschließlich Regierungsbehörden, sowie zu verwandten Verbraucherkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Microsoft hat alle betroffenen oder kompromittierten Organisationen direkt über ihre Mandantenadministratoren kontaktiert und ihnen wichtige Informationen zur Verfügung gestellt, die ihnen bei der Untersuchung und Reaktion helfen. Wir arbeiten weiterhin eng mit diesen Organisationen zusammen. Wenn Sie nicht kontaktiert wurden, zeigen unsere Untersuchungen, dass Sie nicht betroffen sind.

F: Auf welche Daten wurde zugegriffen?

A: Der Akteur erhielt Zugriff auf Benutzer-E-Mail-Daten von etwa 25 Organisationen in der Public Cloud, einschließlich Regierungsbehörden und zugehörigen E-Mail-Daten von Verbrauchern.

F: Wie kann ich als Kunde diesen Angriff auf Exchange Online untersuchen?

A: Microsoft hat Informationen zur Suche veröffentlicht unter: Analyse von Storm-0558-Techniken für nicht autorisierten E-Mail-Zugriff.

F: Was muss ich von Microsoft bezüglich des Blogs von WIZ wissen?

A: Die laufende Untersuchung von Microsoft hat keine Beweise dafür erbracht, dass die Auswirkungen dieses Vorfalls über das hinausgehen, was in unseren MSRC- und MSTIC-Blogs beschrieben wurde. Wir haben nicht beobachtet, dass der Akteur Token für andere Dienste als OWA und Outlook.com verwendet hat.

Im Rahmen unserer laufenden Bemühungen, die Sicherheit der Tokenüberprüfung für Kunden zu verbessern, haben wir tiefgreifende Änderungen an den Bibliotheken Microsoft.IdentityModel und Microsoft.Identity.Web veröffentlicht. Da der erworbene Signaturschlüssel bereits von Microsoft ungültig gemacht wurde, besteht kein unmittelbares Risiko für Kunden. Kunden wird empfohlen, dieses Update im Rahmen ihres nächsten Sicherheitswartungsfensters abzuholen.

F: Inwiefern hilft die jüngste Ankündigung von Microsoft über die Erweiterung der Cloudprotokollierungsfunktionen den Kunden, einige der im WIZ-Blog beschriebenen Risiken zu identifizieren?

A: Microsoft stimmt mit WIZ überein, dass Protokolldaten eine wichtige Rolle bei der Reaktion auf Vorfälle spielen, da sie detaillierte, überprüfbare Einblicke in den Zugriff verschiedener Identitäten, Anwendungen und Geräte auf die Clouddienste eines Unternehmens bieten. Diese Protokolle selbst verhindern zwar keine Angriffe, können aber in der digitalen Forensik und bei der Reaktion auf Vorfälle nützlich sein, wenn untersucht wird, wie ein Eindringen stattgefunden haben könnte, z. B. wenn sich ein Angreifer als autorisierter Benutzer ausgibt. Wie in unserem Sicherheitsblog vom 19. Juli 2023 beschrieben, unternimmt Microsoft zusätzliche Schritte, um seine Kunden zu schützen und die standardmäßige Sicherheit unserer Cloudplattformen zu erhöhen. Insbesondere erweitern wir die Zugänglichkeit und Flexibilität unserer Cloud-Protokollierung noch weiter, um unseren weltweiten Kunden den Zugriff auf umfassendere Cloud-Sicherheitsprotokolle ohne zusätzliche Kosten zu ermöglichen.

F: Sollten Kunden nicht nur in E-Mails, sondern auch an anderen Orten mit 365 Anmeldungen nach IOCs suchen?

A: In unserem Microsoft Threat Intelligence-Blog zeigen wir, dass wir über umfangreiche Telemetriedaten zum Akteur verfügen (bis hin zum verwendeten Quellcode) und aufgrund dieser Beobachtung zuversichtlich sind, dass nur OWA und Outlook.com betroffen waren. Während die hypothetischen Szenarien im Wiz.io Blog theoretisch möglich sind, deutet unsere Telemetrie nicht darauf hin, dass andere Aktivitäten stattgefunden haben.

Wie auch in unserem Threat Intelligence-Blog angegeben, wurde keine andere Aktivität als das E-Mail-Targeting durch die Beobachtung der Akteursinfrastruktur, des Quellcodes oder umfassende Untersuchungen in Microsoft 365-Diensten angezeigt. Wenn ein Kunde jedoch unabhängige Untersuchungen durchführen möchte, stellen wir im Threat Intelligence-Blog Informationen zur Verfügung, um diese Suche zu unterstützen.

=====

Referenzierte Inhalte

MSRC Blog: Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email 
Microsoft on the Issues: Mitigation for China-Based Threat Actor Activity 
Microsoft Threat Intelligence: Analysis of Storm-0558 techniques for unauthorized email access
Microsoft Security BlogExpanding cloud logging to give customers deeper security visibility
US Cybersecurity & Infrastructure Security Agency (CISA):Enhanced Monitoring to Detect APT Activity Targeting Outlook Online
Microsoft Security Blog: Analysis of Storm-0558 techniques for unauthorized email access | Microsoft Security Blog

Antwort des Microsoft Supports vom 03.08.2023

Weitere Informationen sowie Handlungsoptionen zum Vorfall haben wir in diesem Blogartikel zusammengefasst.

Bildquellen:

  • Fragen Support: Nuthawut (471437293) | stock.adobe.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.