ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Crash-Dump: So gelangten Hacker an Microsofts Signaturschlüssel

Marc Stöckel
112 Kommentare
Crash-Dump: So gelangten Hacker an Microsofts Signaturschlüssel
Bild: pixabay.com / efes

Schon vor Monaten gab es Medienberichte über einen sensiblen Signaturschlüssel von Microsoft, der in die Hände einer chinesischen Hackergruppe namens Storm-0558 gelangt war. Erst jetzt will der Redmonder Softwarekonzern in Erfahrung gebracht haben, wie die Angreifer an den Schlüssel kamen.

Per Race-Condition in den Crash-Dump

Wie Microsoft in einem neuen Blogbeitrag erklärt, sei der Signaturschlüssel in einem Crash-Dump, der schon im April 2021 beim Absturz eines Signierungssystems entstanden sei, enthalten gewesen. Dies sei aber nicht die Regel – normalerweise habe ein solch sensibler Schlüssel in den Fehlerdaten nichts zu suchen. Eine Race-Condition, die der Konzern inzwischen beseitigt habe, habe jedoch in diesem Fall dazu geführt, dass der Signaturschlüssel in den Datensatz eingefügt wurde. Microsofts Systeme seien außerdem nicht imstande gewesen, den in dem Crash-Dump eingebetteten Schlüssel zu erkennen. Auch dafür habe das Unternehmen inzwischen eine Korrektur implementiert.

In dem Glauben, der Crash-Dump enthalte keinerlei sensible Informationen, sei dieser anschließend aus dem isolierten Produktionsnetzwerk in Microsofts Debugging-Umgebung gelangt, die mit dem regulären Unternehmensnetzwerk inklusive Internetzugang verbunden sei. Dieser Vorgang sei zwar im Einklang mit den Standard-Debugging-Prozessen des Konzerns erfolgt, wie und warum der Datentransfer stattfand, erklärt Microsoft aber nicht.

Hacker kompromittierten das Konto eines Mitarbeiters

Innerhalb der Debugging-Umgebung sei es den Systemen, die dort eigentlich aktiv nach Zugangsdaten und Schlüsseln suchen und darauf aufmerksam machen sollen, ebenfalls nicht gelungen, den Signaturschlüssel zu erkennen. Auch diesen Missstand habe Microsoft aber inzwischen korrigiert. Später sei es Storm-0558 dann gelungen, das Unternehmenskonto eines Microsoft-Ingenieurs zu kompromittieren und von dort aus auf die Debugging-Umgebung zuzugreifen, wo die Hacker schließlich den Crash-Dump mit dem Signaturschlüssel in ihren Besitz bringen konnten.

Trotz allem betont der Softwarekonzern, er könne den Hergang nicht mit spezifischen Beweisen untermauern. Grund dafür seien geltende Richtlinien zur Aufbewahrung von Protokolldaten – die nötigen Protokolle seien schlichtweg nicht mehr verfügbar. Dennoch halte Microsoft dies für „den wahrscheinlichsten Mechanismus, durch den der Akteur den Schlüssel erworben hat“.

Signaturschlüssel verschaffte Hackern weitreichende Möglichkeiten

Mit dem gestohlenen Signaturschlüssel konnten sich die chinesischen Hacker einst weitreichende Zugriffsmöglichkeiten auf verschiedene Microsoft-Konten verschaffen. In einem Blogbeitrag vom 14. Juli war noch von etwa 25 Organisationen die Rede, auf deren E-Mail-Postfächer die Angreifer zugegriffen hatten – darunter auch Konten von Regierungsbehörden und anderen Kunden der Microsoft-Cloud. Wie die Hacker den Schlüssel in ihren Besitz bringen konnten, konnte der Konzern damals noch nicht erklären. Er gab lediglich zu verstehen, dass er das Problem inzwischen entschärft habe, sodass ein weiterer Missbrauch des Schlüssels durch die Angreifer nicht mehr möglich sei.

Und obwohl Microsoft zu dieser Zeit noch behauptete, es sei neben der Microsoft-Cloud „keine andere Umgebung betroffen“, kamen Sicherheitsforscher von Wiz rund eine Woche später zu einem ganz anderen Ergebnis. Demnach sei Storm-0558 mit dem Signaturschlüssel in der Lage gewesen, Zugangstoken für alle Azure-Active-Directory-Anwendungen zu generieren, die mit Microsofts OpenID v2.0 arbeiten. Dies habe ihnen potenziell auch den Zugriff auf persönliche Microsoft-Konten erlaubt, die im Zusammenhang mit anderen Microsoft-Diensten wie Skype, Outlook, SharePoint, OneDrive, Teams oder Xbox genutzt wurden. Selbst „Kundenanwendungen, die die Microsoft-Konto-Authentifizierung unterstützen, einschließlich solcher, die die Funktion ‘Anmelden mit Microsoft’ anbieten“, seien demnach betroffen gewesen.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz