Microsofts Totalversagen und wer dafür schuldig ist

Rollfeld Bros. Logo

Wir beraten und gestalten Marken

NETZWELT

Microsofts Totalversagen und wer dafür schuldig ist (die Chinesen ... na klar!)

Wie schon zu befürchten war: „Die Chinesen“, mit denen Microsoft von ihrem eigenen Totalversagen abzulenken versuchen, haben ja neulich fies und gemein aus einem regulären Endanwender-Schlüssel einen Admin-Schlüssel gebastelt, die Schufte!

Das wissen wir, weil Regierungsbehörden betroffen waren. Microsoft gab also zu, was sie nicht mehr leugnen konnten, nämlich dass ihre Azure Security ein Trümmerhaufen ist.

Aber warte. Sie haben nur zugegeben, dass die Chinesen damit ihren Exchange aufmachen konnten. Nur… wenn du eine Art Admin-Schlüssel selbst erzeugen kannst, wieso würde das dann auf Exchange beschränkt sein? War es natürlich nicht.

This led us to believe that although the compromised key acquired by Storm-0558 was a private key designed for Microsoft’s MSA tenant in Azure, it was also able to sign OpenID v2.0 tokens for multiple types of Azure Active Directory applications.

Und damit könnte man sich auch einfach so bei Sharepoint und Teams und co anmelden und einmal alle Daten absaugen.

Microsoft verhält sich echt wie so ein TV-Kleinrimineller in einer Polizeiserie. Nur zugeben, was die eh schon wissen. Schnell ablenken und auf „die Chinesen“ zeigen. Abstoßend, sowas.

Na, habt ihr auch schon euer Business in die Microsoft-Cloud geschoben? Wegen der Sicherheit oder wegen der Ausfallsicherheit? *wieher*

Hätte uns doch nur vorher jemand gewarnt!!1!

Quelle: blog.fefe.de

Microsofts gestohlener Schlüssel mächtiger als vermutet

Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Microsoft-Cloud.

… Es handelt sich bei dem gestohlenen Schlüssel um einen OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD). Das ist Microsofts Cloud-Verzeichnisdienst, also eine Art Telefonbuch der jeweils bekannten Cloud-Nutzer. Und nach Wiz-Erkenntnissen konnte man mit diesem Signing Key Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Also nicht nur Outlook, sondern auch Office, Sharepoint und Teams. Doch es kommt noch schlimmer:

“The compromised key was trusted to sign any OpenID v2.0 access token for personal accounts and mixed-audience (multi-tenant or personal account) AAD applications.”

Sprich: Auch in von Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Appikationen hätten die Storm-Trooper demnach einfach reinspazieren können, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein “Login with Microsoft” ermöglichten. Das wäre der Größte Anzunehmende Unfall (GAU) für einen großen Identitäts-Provider, der Microsoft gerne sein möchte.

Microsoft hat den kompromittierten Schlüssel zwar jetzt gesperrt, sodass jetzt keine weiteren Zugriffe damit möglich sein sollten. Aber es wäre durchaus möglich gewesen, die Zugänge vorher zu nutzen, um die betroffenen Accounts – also praktisch fast die gesamte Microsoft-Cloud – mit Hintertüren zu versehen. Eigentlich müsste man jetzt jedes einzelne AAD- und Microsoft-Konto auf nicht autorisierte Aktivitäten hin überprüfen. Doch wie macht man das?

Den vollständigen Artikel gibt es hier …

Quelle: heise.de