28.07.2023
Aufregung um gestohlenen Microsoft Masterkey: Was ist los? Wie sollte Ihr Unternehmen reagieren?
Als Microsoft-365-Experten und Azure-Betreiber möchten wir gerne dabei helfen, die Sachlage einzuordnen – und geben außerdem Rat zum Umgang mit der Situation. Hier zunächst die Einordnung auf Basis einer Analyse der bisherigen Berichte:
- Aus Sicht deutscher Unternehmen sind die Hintergründe der mutmaßlichen China-Hackergruppe, die den Namen „Storm 0558“ erhielt, zwar alarmierend, lassen aber nicht auf direkte Betroffenheit schließen: Die Berichte über den Tathergang deuten auf zwischenstaatliche Spionageabsichten hin, die hohe Behörden in den USA als Hauptziele betreffen.
- Der jüngst erschienene Artikel von heise.de stellt dem bisher journalistisch näher verfolgten Kontext eines Tätermotivs jedoch den technologischen Umfang und das theoretisch damit verbundene Schadenspotenzial entgegen. Denn dem Beitrag zufolge ist es einem Sicherheitsunternehmen gelungen, Näheres über den gestohlenen Masterkey und die damit verbundenen potenziellen Angriffsmuster zu erfahren.
- Konkret hätten demnach sogar Kunden-Apps in der Microsoft Cloud (Azure) offen gestanden – denn der erbeutete Schlüssel sei geeignet, das Active Directory auszuhebeln, mit dem die Zugriffe auf Microsoft-Konten verwaltet werden. Es sei aber angemerkt: Niemand weiß, ob es die Täter oder Tätergruppe tatsächlich darauf abgesehen hat, den erbeuteten Schlüssel auch in anderen Ländern oder anderen Zusammenhängen zu nutzen.
Microsoft selbst hat den betreffenden Schlüssel inzwischen deaktiviert - weiterer Schaden ist daher nicht zu erwarten. In der Zeit zwischen dieser Reaktion und dem Hackerangriff kann es aber zu Vorfällen gekommen sein, die daher rückblickend untersucht werden sollten.
In diesem Kontext halten wir ergänzende Sicherheitsvorkehrungen für richtig und sinnvoll. Wir empfehlen konkret diese Vorgehensweise zur Mitigation:
- Die Aufbewahrungszeit der Sicherheits-Logs auf mindestens 90 Tage erhöhen (abhängig von Ihrem Lizenzierungsmodell): Die Vorgehensweise ist unter diesem Link beschrieben.
- Die Logs nach Einbruchsversuchen durchsuchen: Dies ist mit erheblichem manuellem Aufwand verbunden oder kann mit Scripting automatisiert werden. Microsoft hat unter diesem Link Informationen über die verwendeten IP-Adressen und Schlüssel der Hackergruppe dokumentiert.
- Die Authentifizierungs-Tokens (revoke session) für alle Benutzer, Service-Konten und administrative Konten zurücksetzen, um zwischengespeicherte Informationen zu entfernen. „Abmelden von allen M365-Sitzungen“ über die M365-Oberfläche durchführen (bewirkt eine Anmeldeaufforderung für die Benutzer). Alternativ kann dies für alle Benutzer über ein PowerShell Script erfolgen.
- Abhängig von den Ergebnissen der Analyse unter Punkt 2. müssen die App-Authentifizierungen ebenfalls zurückgesetzt werden. Dies ist pro App in Microsoft Entra (Azure Active Directory) unter App Registrierungen durchzuführen und etwas aufwändig, da dann eingebundene Fremdsysteme eine neue Authentifizierung verlangen.
Bestehen in Ihrem Unternehmen Fragen oder Unsicherheiten rund um die mögliche Betroffenheit oder um die Vorkehrungsmaßnahmen, wenden Sie sich gerne an unser Microsoft 365 Team.