Ergebnisse der technischen Untersuchung zur Schlüsselbeschaffung durch Storm-0558

 (msrc.microsoft.com)
1 Punkte von GN⁺ 2023-09-07 | 1 Kommentare | Auf WhatsApp teilen
  • Der Artikel behandelt die Ergebnisse der technischen Untersuchung von Microsoft dazu, wie der in China ansässige Bedrohungsakteur Storm-0558 einen Microsoft Account (MSA)-Verbraucherschlüssel erlangte, Tokens fälschte und auf OWA sowie Outlook.com zugriff.
  • Microsoft unterhält eine hochsichere und isolierte Produktionsumgebung zur Steuerung des Mitarbeiterzugriffs. Dazu gehören Hintergrundüberprüfungen, dedizierte Konten, sichere Zugriffs-Workstations und Multi-Faktor-Authentifizierung mit Hardware-Token-Geräten.
  • Im April 2021 kam es zu einem Systemabsturz, bei dem ein Snapshot des Absturzprozesses erstellt wurde, der aufgrund einer Race Condition auch einen Signaturschlüssel enthielt. Dieses Problem wurde später behoben.
  • Der Absturz-Dump, von dem man annahm, dass er kein Schlüsselmaterial enthielt, wurde gemäß dem Standard-Debugging-Prozess aus dem isolierten Produktionsnetzwerk in eine Debugging-Umgebung im mit dem Internet verbundenen Unternehmensnetzwerk verschoben.
  • Der Akteur Storm-0558 konnte das Unternehmenskonto eines Microsoft-Ingenieurs kompromittieren, das Zugriff auf die Debugging-Umgebung mit dem den Schlüssel enthaltenden Absturz-Dump hatte.
  • Der Verbraucherschlüssel konnte aufgrund eines im September 2018 eingeführten gemeinsamen Endpunkts zur Ausgabe von Schlüsselmetadaten auf Unternehmens-E-Mails zugreifen. Dieser sollte Anwendungen unterstützen, die sowohl mit Consumer- als auch mit Unternehmensanwendungen arbeiten.
  • Die Entwickler des Mailsystems gingen fälschlicherweise davon aus, dass die Bibliothek eine vollständige Validierung durchführt, und fügten die erforderliche Validierung von Aussteller/Bereich nicht hinzu. Daher akzeptierte das Mailsystem Unternehmens-E-Mail-Anfragen mit Sicherheitstokens, die mit einem Verbraucherschlüssel signiert waren. Dieses Problem wurde behoben.
  • Microsoft härtet seine Systeme im Rahmen einer Defense-in-Depth-Strategie kontinuierlich weiter. Zu den speziell auf diese Erkenntnisse zugeschnittenen Verbesserungen gehören die Behebung der Race Condition, durch die Signaturschlüssel in Absturz-Dumps gelangen konnten, die Stärkung von Prävention, Erkennung und Reaktion bei irrtümlich in Absturz-Dumps enthaltenem Schlüsselmaterial, die Verbesserung des Credential-Scannings zur besseren Erkennung von Signaturschlüsseln in Debugging-Umgebungen sowie die Veröffentlichung einer erweiterten Bibliothek, die die Validierung des Schlüsselbereichs in Authentifizierungsbibliotheken automatisiert.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-07
Hacker-News-Meinungen
  • Artikel über das schwerwiegende Versagen beim Erwerb des Storm-0558-Schlüssels
  • Versagen aufgrund eines seltenen Race Conditions mit unerwarteten Folgen
  • Der kompromittierte Schlüssel war alt und hätte nur Zugriff auf E-Mail-Konten von Privatkunden gewähren sollen, wurde durch einen Bug jedoch auch für E-Mail-Konten von Unternehmen zugelassen
  • Der Artikel legt nahe, dass der Angreifer ein tiefes Verständnis von Microsofts interner Infrastruktur hatte
  • Besorgnis über den Zeitablauf des Vorfalls, bei dem vermutet wird, dass die Anmeldedaten mehr als zwei Jahre vor ihrer Entdeckung und Offenlegung kompromittiert waren
  • Die Anzahl der gefälschten Tokens und der Umfang der abgerufenen Daten wurden nicht veröffentlicht, was Fragen zur Schwere des Vorfalls aufwirft
  • Der Artikel betont die Notwendigkeit einer häufigen Schlüsselrotation, um solche Vorfälle zu verhindern
  • Dass der Schlüssel nicht in nicht auslesbarer Hardware gespeichert war und von einem gewöhnlichen Serverprozess verwendet werden konnte, deutet auf eine potenzielle Sicherheitslücke hin
  • Kritik am fehlenden Einsatz von Hardware Security Modules (HSMs), um das Abfließen von Schlüsselmaterial zu verhindern
  • Der Artikel weist darauf hin, dass im Abschnitt zur Validierung von Access Tokens bei Microsoft keine Erwähnung des Ausstellerdatums oder einer Sperrprüfung erfolgt
  • Unklar ist, ob während des Vorfalls die Zwei-Faktor-Authentifizierung oder andere zusätzliche Authentifizierungsmethoden umgangen wurden
  • Der Artikel endet mit der Frage, ob es während des Angriffs einen bekannten Dump der extrahierten E-Mails gab