In mei kreeg een hackersgroep met de naam Storm-0558 toegang tot e-mails en andere gegevens van Amerikaanse overheidsinstanties. Dit bleef lange tijd onopgemerkt en de gevolgen werden onderschat. Dit was blijkbaar niet in de laatste plaats te danken aan Microsoft.
Hoe is de hack tot stand gekomen?
Het Cybersecurity & Infrastructure Security Agency (CISA) is voorlopig ook aan het pacificeren. De inhoud van de getroffen e-mails was onschadelijk. Microsoft ging er ook van uit dat het om een spionagepoging ging en niet om sabotage. Dit was echter nauwelijks succesvol.
Waarom heeft niemand het gemerkt?
Maar deze cyberaanval brengt nu vragen en problemen aan het licht die veel verder gaan en niet alleen betrekking hebben op deze hack. De eerste vraag is waarom de omvang van de hack pas zo laat aan het licht kwam - namelijk eergisteren, een dikke maand nadat hackers voor het eerst toegang kregen.
Mastersleutel gestolen en gekopieerd
De gestolen sleutel was geen gekopieerd token. Het was eigenlijk een OpenID-signeringssleutel voor AAD. Zie het als een soort moedersleutel voor Microsofts cloudsysteem.
Microsoft heeft de sleutel nu geblokkeerd, wat betekent dat hackers geen toegang meer zouden moeten hebben. We kunnen echter niet uitsluiten dat de hackers een achterdeur hebben ingebouwd in eerder gecompromitteerde accounts, zodat ze deze sleutel niet meer nodig hebben.
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.
Achtergrond
Interessante feiten uit de wereld van producten, een kijkje achter de schermen van fabrikanten en portretten van interessante mensen.
Half juli werd bekend dat een vermoedelijke Chinese hackersgroep genaamd Storm-0558 een cyberaanval had uitgevoerd. Hierdoor kregen hackers toegang tot e-mails in 25 verschillende accounts van Amerikaanse overheidsinstanties. Dit was echter geen eenmalige inbraak. Hackers hadden ongeveer een maand lang toegang tot elektronische correspondentie. Het tijdstip waarop de hack begon - in mei - wordt als bijzonder kritiek beschouwd. Toen ontmoette de Amerikaanse minister van Buitenlandse Zaken, Tony Blinken, Chinese regeringsfunctionarissen in China om te onderhandelen over belangrijke zakendeals.
De oorsprong van de Storm-0558 hack ligt vermoedelijk in een zwakke plek in Microsofts Outlook Web Access (OWA) en Outlook.com. Het hackerscollectief slaagde erin een authenticatietoken te vervalsen om toegang te krijgen. Hierdoor konden ze zich voordoen als Azure Active Directory (AAD) gebruikers, door het validatieproces komen en toegang krijgen tot e-mailaccounts. Zo zou het eigenlijk niet moeten werken. Volgens de servicebeschrijving van Microsoft zou deze authenticatiemethode alleen mogelijk moeten zijn voor persoonlijke, niet voor zakelijke accounts in AAD. Microsoft kan (of wil) niet uitleggen hoe dit heeft kunnen gebeuren.
US Secretary of State Blinken op reis naar China Bron: Shutterstock
De inbreuk werd pas ontdekt na een grondige bestudering van gedetailleerde logprotocollen door een Amerikaanse instantie. Je hebt een abonnement genaamd Microsoft Purview Audit (premium) nodig om deze te bekijken. Dit is een tool die alles wat er in een systeem gebeurt tot in detail logt. Het kost extra en zit niet in het standaardpakket van Microsoft. Als een klant dit niet wil (of zich dit niet kan veroorloven), dan blijft hij hierover in het ongewisse. Kortom, klanten zonder dit abonnement zouden niet op de hoogte zijn geweest van dit datalek.
Het zijn niet alleen experts die hun kritiek hebben geuit; ook politici hebben zich bij de verontwaardiging aangesloten. En niet zonder reden. Volgens een persbericht van CISA staat de Amerikaanse overheid op het punt om te beginnen aan een cloudgebaseerde cyberbeveiligingsstrategie. Incidenten zoals deze hebben de plannen getorpedeerd. Zoals Microsoft nu heeft aangekondigd, zal Purview Audit (premium) voortaan gratis worden opgenomen in het beveiligingspakket.
Zoals nu blijkt, kan het incident veel verdergaande gevolgen hebben dan aanvankelijk gedacht. Beveiligingsbedrijf Wiz beweert de Microsoft-sleutel te hebben geïdentificeerd die de hackers gebruikten om e-mails te doorzoeken. Dit wordt gedaan aan de hand van lijsten met geldige handtekeningsleutels, die openbaar beschikbaar zijn.
Wiz demonstreert het probleem via deze grafiek. Bron: Wiz
To understand what happened (or might have happened), you need to first get to grips with what a signing key and token are. I’ll explain with a real-world example. Imagine you want to travel to a country where you need a visa. But because you’re not actually allowed to travel to this country, you haven’t applied for a visa, and you’d just be turned away by the border guards. So instead, you simply create a visa yourself that looks like the original. That’s what a token is. Then you go to the embassy for your destination country. That’s where you’ll find a person who signs off visas. This is the signing key, so to speak. The person wouldn’t just sign your fake visa as soon as you walked in. Instead, you have to bribe them. You compromise them to get them to sign anyway. The border guard then sees the signature and lets you enter the country. That’s the simplified way to think of it – the difference being the signing key in this scam can sign visas for dozens of countries rather than just one.
As the last part of the name spells out, it’s a directory. In this case, we’re dealing with a Microsoft cloud-based directory service. This is where identities, access rights and users’ roles for certain services can be stored and managed. That’s its core function, and it operates either via a graphical interface or the Windows Powershell. What’s more, there are interfaces that allow you to connect AAD to your own local user directories. Microsoft uses AAD itself, for Microsoft 365 user management, for instance. But equally, other companies also rent the AAD service from Microsoft in order to manage user accounts for their own services.
Wiz legt uit dat, volgens hun bevindingen, de aanvallers niet alleen potentiële toegang hadden tot Exchange Online, gehost door Microsoft, maar in feite tot bijna alle gebieden van Microsofts cloud. Met andere woorden, tot Office, Teams, Sharepoint en Outlook. Maar dat is blijkbaar nog niet alles. Zoals Wiz verder uitlegt, zou de gestolen sleutel elk OpenID toegangstoken kunnen ondertekenen. Dit zou op zijn beurt betekenen dat de hackers theoretisch toegang konden krijgen tot elke cloud app die Azure Active Directory gebruikte als identiteitscontrole, ongeacht het bedrijf. Er werd gemeld dat accounts die logins met Microsoft aanbieden ook getroffen zouden worden, zoals GitHub.
Microsoft moet de door Wiz beschreven situatie nog bevestigen. Hoewel ik weinig twijfel heb over de beoordeling van Wiz, valt nog te bezien of hackers deze mogelijkheden inderdaad hebben uitgebuit, en zo ja, in welke mate. Om dat zeker te weten, zouden we eerst alle Microsoft accounts moeten bekijken, inclusief die op basis van AAD. Maar hoe zou dat in zijn werk gaan? Hoe dan ook, het verhaal is een fiasco van epische proporties voor Microsoft. Bovendien is de strategie van niet of nauwelijks communiceren niet transparant en, naar mijn mening, niet gepast. De schade is al aangericht, dus nu moet het bedrijf er lering uit trekken. Anders zal dit het vertrouwen in Microsoft nog meer aantasten dan voorheen.
