· 2 Minuten Lesezeit
Gestohlener Microsoft MSA-Schlüssel: Schlimmer als gedacht
Microsoft und CISA warnen vor einem Sicherheitsvorfall, der mehrere Onlinedienste von Microsoft betrifft. Erfahren Sie mehr über die Auswirkungen und wie Sie sich schützen können.
Angesichts der jüngsten Entwicklungen im Bereich der Cybersicherheit stützen wir uns auf die sorgfältige Recherche von wiz.io. Wir möchten unseren M365 Managed-Kunden mitteilen, dass wir ihre Sicherheit vor dieser Schwachstelle proaktiv überprüft und sichergestellt haben. Wir geben Ihnen hier eine kurze Zusammenfassung, empfehlen Ihnen aber, die detaillierten Informationen im Original-Blogbeitrag von wiz.io zu lesen, um ein vollständiges Verständnis des Themas zu erhalten.
Vor kurzem haben Microsoft und die CISA einen Microsoft Sicherheitsvorfall bekannt gegeben, von dem mehrere Kunden von Exchange Online und Outlook.com betroffen waren. Der Vorfall wurde einem aus China stammenden Bedrohungsakteur mit der Bezeichnung Storm-0558 zugeschrieben, dem es gelungen war, einen privaten Verschlüsselungsschlüssel (den so genannten MSA-Schlüssel) zu erlangen. Dieser Schlüssel wurde verwendet, um Zugangstokens für Outlook Web Access (OWA) und Outlook.com zu fälschen. Zusätzlich nutzte der Angreifer zwei Sicherheitslücken im Token-Verifizierungsprozess von Microsoft aus.
Während zunächst angenommen wurde, dass nur Outlook.com und Exchange Online betroffen waren, fand Wiz Research heraus, dass der kompromittierte Signierschlüssel weitreichendere Auswirkungen hatte. Der kompromittierte MSA-Schlüssel könnte es einem Angreifer ermöglichen, Access Tokens für verschiedene Azure Active Directory-Anwendungen zu fälschen. Dazu gehören Anwendungen wie SharePoint, Teams, OneDrive und jede Anwendung, die die Funktion “Anmeldung bei Microsoft” unterstützt.
Die Schwere dieses Vorfalls liegt in der Macht der Signaturschlüssel der Identitätsanbieter. Diese Schlüssel gehören zu den mächtigsten Geheimnissen der heutigen digitalen Welt. Mit den Schlüsseln der Identitätsprovider kann sich ein Angreifer sofort Zugang zu verschiedenen Diensten wie E-Mail-Postfächern, Dateidiensten oder Cloud-Accounts verschaffen.
Um zu überprüfen, ob Ihr Tenant kompromittiert wurde, empfiehlt Microsoft, die offizielle Dokumentation von Microsoft zur OpenID Token Verification (Token Playbook) zu lesen. Alle Azure Personal Account v2.0-Anwendungen sind von einer Liste öffentlicher Schlüssel abhängig. Mithilfe der Wayback Machine des Internet Archive können Sie Änderungen an den öffentlichen Schlüsseln feststellen, insbesondere wenn ein Schlüssel im Zeitraum des Vorfalls ersetzt wurde.
Hinweis: Wiz ist eine führende Cloud-Sicherheitsplattform, der viele vertrauen, darunter 35 % der Fortune-100-Unternehmen. Ihre Ergebnisse werden in der Branche hoch geschätzt. Quelle