Wer seinen Wohnungsschlüssel verliert weiß, dass der Finder (oder Dieb) ab sofort freien Zugang zu den eigenen vier Wänden hat. Ganz ähnlich verhält es sich in der Cloud, nur sind die Folgen noch viel weitreichender, wie der Diebstahl des Cloud-Master-Keys bei Microsoft zeigt: Hier stehen nicht die virtuellen Türen eines einzelnen Kunden offen, sondern potenziell alle. Und da sich Krypto-Schlüssel beliebig kopieren lassen, ist auch völlig unklar, wer letztlich unbefugten Zugriff hat. Betroffene sollten den Vorfall entsprechend ernst nehmen – auch und gerade weil Microsoft lange Zeit kaum etwas zu den Hintergründen und Auswirkungen berichtete.
Das Cloud-Desaster
Der Cloud-Master-Key ist von entscheidender Bedeutung für die Sicherheit von Cloud-Diensten. Aus ihm leiten sich unter anderem die Schlüssel im AAD ab (Azure Active Directory): wer den Key kennt, kann folglich die Verschlüsselung und Zugriffskontrolle in der Cloud manipulieren.
Dem Sicherheitsunternehmen Wiz ist es nach eigenen Angaben gelungen, den gestohlenen Microsoft-Key zu identifizieren, mit dem mutmaßlich chinesische Angreifer die Mails von US-Regierungsbehörden ausspionierten. Demzufolge hätten diese Angreifer auch Zugriff auf nahezu alle Microsoft-Cloud-Anwendungen wie Outlook, Sharepoint, Office365, Teams und OneDrive erlangen können. Selbst Kunden-Apps in der Cloud mit „Login with Microsoft“ könnten demnach komplett offen gestanden haben. Auch in von Kunden selbst betriebenen Azure-AD-Instanzen und deren Cloud-Appikationen hätten die Hacker eindringen können, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein „Login with Microsoft“ ermöglichten. Das wäre der Größte Anzunehmende Unfall (GAU) für einen großen Identitäts-Provider, der Microsoft gerne sein möchte.
Ob Angreifer all diese Möglichkeiten tatsächlich nutzten, weiß man nicht, denn Microsoft versteckt sich hinter nichtssagenden Dementis. Ein Problem mit der Gültigkeitsprüfung („Validation Issue“) habe dazu geführt, dass die eigentlich nur für Privatkunden-Konten (MSA) vorgesehene digitale Unterschrift auch im Azure Active Directory für Business-Kunden funktionierte. Erschwerend hinzu kommt die Tatsache, dass Microsoft es offenbar gezielt vermeidet, die von diesem Security- und Privacy-Desaster betroffenen Produkte explizit zu benennen.
Wer den Schaden hat…
Der jüngste Diebstahl dieses Schlüssels bei Microsoft hat daher Unsicherheiten hinsichtlich der Datenintegrität und Sicherheitsmaßnahmen aufkommen lassen. Microsoft selbst hat den betreffenden Schlüssel inzwischen deaktiviert – weiterer Schaden ist daher nicht zu erwarten. In der Zeit zwischen dieser Reaktion und dem Hackerangriff kann es aber zu Vorfällen gekommen sein, die rückblickend untersucht werden sollten. Denn es wäre durchaus möglich gewesen, die Zugänge zwischenzeitlich zu nutzen, um die betroffenen Accounts – also praktisch fast die gesamte Microsoft-Cloud – mit Hintertüren zu versehen.
Eigentlich müsste man jetzt jedes einzelne AAD- und Microsoft-Konto auf nicht autorisierte Aktivitäten hin überprüfen. Das gestaltet sich jedoch gar nicht so einfach, was aber auch an den von Microsoft bisher nur sehr spärlich gelieferten Informationen und den künstlich eingeschränkten Möglichkeiten liegen, die Cloud-Dienste auf Sicherheitsprobleme hin zu überprüfen: für diese Zugriffe auf Log-Daten kassierte Microsoft bislang extra. Erst nach Bekanntwerden dieses Security-Fiaskos lenkte Microsoft ein und will zukünftig den Zugang zu diesen Log-Daten ohne Zusatzkosten freigeben.
Bedeutung des Cloud-Master-Keys
Im Wesentlichen ist der Cloud-Master-Key der Hüter der Datenintegrität und spielt eine Schlüsselrolle in folgenden Bereichen:
- Datenverschlüsselung: Der Cloud-Master-Key dient als Basis für die Datenverschlüsselung auf Datei- oder Datensatzebene. Dadurch sind die gespeicherten Daten selbst bei einem Angriff auf die Server verschlüsselt und für Angreifer nutzlos – so lange der Schlüssel geheim bleibt.
- Zugriffskontrolle: Der Cloud-Master-Key wird für die Berechtigungen und den Zugang zu den verschlüsselten Daten benötigt. Damit nur autorisierte Benutzer auf die Daten zugreifen können.
- Schlüsselverwaltung: Der Cloud-Master-Key berechtigt weitere untergeordnete Schlüssel, die für bestimmte Aufgaben oder spezifische Daten verwendet werden. Dies ermöglicht eine differenzierte und granulare Verschlüsselung.
Mögliche Auswirkungen
Der Diebstahl des Cloud-Master-Keys kann weitreichende Auswirkungen haben:
- Datendiebstahl: Unbefugte könnten die verschlüsselten Daten entschlüsseln und somit Zugang zu sensiblen Informationen und vertraulichen Dokumenten erlangen.
- Manipulation von Daten: Angreifer könnten Daten manipulieren oder fälschen, was zu Vertrauensverlust, rechtlichen Problemen und finanziellen Schäden führen kann.
- Identitätsmissbrauch: Der Master-Key könnte dazu verwendet werden, gefälschte Identitäten zu erstellen, was die Sicherheit von Nutzerkonten und Zugangsberechtigungen gefährdet.
- Eskalation von Angriffen: Mit Zugriff auf den Master-Key könnten Angreifer tiefer in die IT-Infrastruktur eindringen und weiteren Schaden anrichten.
- Vertrauensverlust: Kunden könnten das Vertrauen in die Sicherheitsmaßnahmen von Microsoft und anderen Cloud-Anbietern verlieren. Denn: je größer die Cloud, desto lohnender für Angreifer und desto mehr Kunden sind auf einen Schlag betroffen.
- Regulatorische Konsequenzen: Je nach Branche und Standort könnten Unternehmen gegen Datenschutzbestimmungen und -regulierungen verstoßen.
Schritte zur Reaktion für betroffene Kunden
Um sich gegen die Bedrohung durch den gestohlenen Cloud-Master-Key zu wappnen, empfiehlt Microsoft folgende Schritte:
- Sofortige Analyse: Die eigenen Systeme gründlich auf Anzeichen von ungewöhnlicher Aktivität oder Kompromittierung untersuchen und die Aufbewahrungszeit der Sicherheits-Logs auf mindestens 90 Tage erhöhen
- Kontakt mit Microsoft: Kontakt mit Microsoft aufnehmen, um Informationen über den Vorfall zu erhalten und deren Anweisungen zu befolgen.
- Änderung von Passwörtern und Schlüsseln: Alle Passwörter und Schlüssel ändern, die mit den betroffenen Diensten in Verbindung stehen. Die Authentifizierungs-Tokens (revoke session) für alle Benutzer, Service-Konten und administrative Konten zurücksetzen
- Überwachung: Die Systeme laufend auf verdächtige Aktivitäten überwachen, um ungewöhnliche Vorkommnisse sofort zu erkennen.
- Informationsaustausch: Relevante Informationen über den Vorfall mit den internen IT-Teams und Sicherheitsexperten teilen.
- Sicherheitsbewusstsein stärken: Mitarbeiter intensiv schulen in Bezug auf Sicherheitsbewusstsein.
- Backups: Sicherungen (die nicht in der Cloud liegen) nutzen, um manipulierte Daten wieder herstellen zu können und – fast noch wichtiger – um Änderungen zu erkennen. Der Abgleich mit einem Backup liefert Erkenntnisse darüber, ob und welche Daten ein Angreifer manipuliert hat: Das klappt, wenn das Offcloud-Backup alt genug und nicht vom Master-Cloud-Key-Diebstahl betroffen ist.
Auf den Sturm vorbereitet sein
Der Diebstahl des Cloud-Master-Keys bei Microsoft verdeutlicht die Notwendigkeit, dass Unternehmen nicht nur in Sicherheitsmaßnahmen investieren, sondern auch vorbereitet sind, um im Ernstfall angemessen reagieren zu können. Die Situation unterstreicht die Dynamik der Cyberbedrohungen und die Bedeutung der Zusammenarbeit zwischen Unternehmen und Experten, um die Sicherheit von Cloud-Daten und -Diensten zu gewährleisten.
Quellen: Heise online, Matrix