Microsoft Cloud-Dienste: Wenn Microsoft ein AAD-Schlüssel entfleucht, ist Polen für Storm-0588 offen

Anfang Juli 2023 musste Microsoft eingestehen, dass mutmaßlich chinesische Angreifer der Storm-0588 genannten Gruppe, Konten von 25 Organisationen (Regierungen etc.) in Outlook Online gehackt hatten. Möglich war dies, weil ein inaktiver MSA-Key in die Hände der Gruppe gelangte (wie die da dran kamen, wird noch untersucht). Mit dem MSA-Key, der für Consumer-Dienste vorgesehen war, konnten die Hacker Sicherheitstokens erstellen, die auch für Azure Dienste nutzbar waren. Das hat Microsoft schrittweise -verklausuliert - eingestanden und auch erklärt, das "die Bugs im Code, die diese eigentlich nicht zulässige Authentifizierung nicht abgewiesen haben, nun beseitigt seien".

Sicherheitsforscher von Wiz haben sich den Fall näher angesehen und schreiben, dass es ein geklauter AAD-Schlüssel gewesen sei, der von Storm-0588 genutzt wurde. In Folge standen den Hackern eigentlich alle Azure AD-Dienste (modern EntraID-Dienste) und Apps, die eine Microsoft-Anmeldungen nutzen, offen. Administratoren sollten ihre Azure-Instanzen auf Spuren einer Kompromittierung untersuchen. Ich habe mal einige Informationen in folgendem Artikel zusammen getragen und auf den Blog-Beitrag von Wiz verlinkt.

GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten

Der Fall zeigt: Wer die Cloud-Infrastruktur kompromittieren kann, der hat den Jackpot.