Microsoft: Hacker stehlen wichtigen Sicherheitsschlüssel

Vor fast zwei Monaten entdeckten Mitarbeiter einer US-amerikanischen Regierungsbehörde seltsame Zugriffe auf ihre E-Mails. Eine Sicherheitsanalyse ergab, dass mutmaßlich chinesische Angreifer den Mail-Service von Microsoft gehackt hatten.

Dabei stellte sich heraus, dass die Angreifer einen Sicherheitsschlüssel gestohlen hatten, mit dem sie sich selbst Zugangstokens für den Outlook-Service ausstellen konnten. Analysten des Sicherheitsunternehmens Wiz haben den gestohlenen Schlüssel nun genauer untersucht und schlagen Alarm: Alle Dienste der Microsoft-Cloud sind betroffen und extrem gefährdet.

Microsoft wiegelt zwar ab und meint, man habe den Angriff der vermutlich chinesischen Hackertruppe geblockt. Es seien zudem nur die Dienste Outlook und Exchange Online zeitweise betroffen gewesen. Der ernstzunehmende Sicherheitsvorfall wirft eine Menge Fragen auf.

Das Sicherheitsunternehmen Wiz warnt nach ihrer Analyse des Sicherheitsschlüssels, dass alle Anwendungen betroffen seien, die eine persönliche Kontoauthentifizierung erfordern. Das sind unter anderem Outlook, Sharepoint, Office365, Teams, Onedrive und Drittanwendungen, die von der Funktionalität "Login-with Microsoft" Gebrauch machen.

Mitte Juni konnten damit Zugriffe auf Mails amerikanischer und europäischer Regierungsbehörden nachgewiesen werden. Microsoft gab auch eine entsprechende Warnung heraus. Weil aber mit dem entwendeten Sicherheitsschlüssel Zugangsberechtigungen für alle Cloud-Dienste von Microsoft erstellt werden können, sind auch prinzipiell alle Kunden der Microsoft-Cloud und ihrer Services betroffen.

Laut Bundespresseamt war die Bundesregierung bisher nicht über diesen Sicherheitsvorfall informiert. Deshalb konnte das Bundespresseamt auch keinerlei Auskunft geben, ob Regierungsbehörden in Deutschland betroffen sind.

Das ebenfalls vom ZDF angefragte Bundesinnenministerium prüft den Vorfall, konnte aber bis zum Redaktionsschluss dieses Beitrages keine Auskunft geben, ob und inwieweit deutsche Regierungsbehörden davon betroffen sind.

Da alle Anwender von Cloud-Diensten Microsofts betroffen sein können, gehören auch Privatanwender zum Kreis der potenziell Geschädigten. Die Analysen von Wiz haben Tools zusammengestellt, wie überprüft werden kann, ob eigene Anwendungen betroffen sind.

Allerdings setzen diese Tools trotz rezeptartiger Tipps einiges an programmtechnischem Know-how voraus.

Da hält sich Microsoft mit Informationen äußerst zurück. Wiz-Analysten haben den gestohlenen Schlüssel anhand von Fingerabdrücken, die Microsoft veröffentlicht hat, identifiziert. Demzufolge handelt es sich um einen Sicherheitsschlüssel, der benötigt wird, um Zugangstokens für Cloud-Services von Microsoft auszustellen.

Solche Zugangstokens enthalten alle Zugangs- und Authentifizierungsdaten, um auf ein Nutzerkonto der Cloud-Services zugreifen zu können.

Microsoft hat der Hackertruppe den Namen "Storm-0558" gegeben. Nach allen, was bisher an Indizien vorliegt, stecken chinesische Angreifer hinter "Strom-0558".

Sicherheitsexperten aus der Höchstleistungsrechnerbranche haben sie im Juni 2023 auf der Internationalen Supercomputerkonferenz in Hamburg als Vorfeldorganisation der dritten technischen Abteilung der chinesischen Volksbefreiungsarmee bezeichnet.

Nein, denn die Angreifer können weitere Benutzerdaten und Identifikationsinformationen bei ihren Ausspähaktionen unterschiedlicher Cloud-Konten erbeutet haben, mit denen sie sich jetzt und während der nächsten Wochen und Monate Zugang verschaffen können.