Microsoft veröffentlicht TokenTheft-Playbook

Sicherheit (Pexels, allgemeine Nutzung)[English]Kleiner Hinweis an Administratoren, die Dienste und Anwendungen in der (Microsoft-) Cloud verantworten bzw. verwalten. Der Diebstahl von Tokens kann Angreifern den Zugriff auf entsprechende Dienste ermöglichen. Als Folge eines entsprechenden Vorfalls hat Microsoft daher das sogenannte TokenTheft-Playbook veröffentlicht. Es handelt sich um ein Online-Dokument mit zahlreichen Hinweisen für "Cloud-Verantwortliche", die sich um die Sicherheit und den Schutz vor dem Diebstahl von Zugangstokens kümmern müssen.


Anzeige

Das TokenTheft-Playbook

Es wird gerade auf Twitter von einigen Leute (zumindest von mir gefühlt) groß gefeiert – die Veröffentlichung des TokenTheft-Playbook. Nachfolgender Tweet weist beispielsweise auf dieses Thema hin.

TokenTheft-Playbook

Unternehmen verstärken zwar ihre Sicherheitsvorkehrungen zur Absicherung ihrer Cloud-Präsenz. Dazu gehört auch die Multifaktor-Authentifizierung (2FA), die dann mit Sicherheitstokens für den Zugang arbeitet. Aber Bedrohungsakteure verwenden immer ausgefeiltere Techniken, um Ressourcen in der Cloud (und auch On-Premises) zu kompromittieren. Eine der Gefahren ist dabei der Diebstahl von Sicherheitstokens durch Angreifer, sei es über Schwachstellen oder über andere Angriffsvektoren.

Ein Token-Diebstahl-Angriff liegt vor, wenn Bedrohungsakteure die an einen Benutzer ausgegebenen Token kompromittieren und erneut abspielen, selbst wenn dieser Benutzer die Multifaktor-Authentifizierung erfüllt hat. Da die Authentifizierungsanforderungen erfüllt sind, erhält der Angreifer mit dem gestohlenen Token Zugriff auf Unternehmensressourcen.

Für Unternehmen ist eine schnelle Reaktion erforderlich, einen solchen Diebstahl rechtzeitig zu erkennen, um Schäden, die durch Token-Diebstahl-Angriffe entstanden sind, zu untersuchen, einzudämmen und zu beheben. Genau hier versucht Microsoft nun mit Dokumentation anzusetzen. Beim TokenTheft-Playbook handelt es sich um eine Sammlung von Informationen, die Sicherheitsanalysten und Einsatzkräften eine Anleitung zur Identifizierung und Untersuchung von Token-Diebstahl-Angriffen in einem Unternehmen samt einem abzuarbeitenden Entscheidungsbaum bieten.

Das Ganze lässt sich online unter Microsoft Learn im Artikel Token theft playbook (englisch) oder Playbook für Tokendiebstahl (deutsch) abrufen. Die Hinweise beziehen sich ausschließlich auf Cloud-Dienste Microsofts, wobei ein Zugriff auf Microsoft Entra-ID (früher Azure AD) sowie einige weitere Voraussetzungen gefordert sind. Die Details lassen sich auf den verlinkten Seiten nachlesen – ich kann mir daher deren Auflistung hier sparen.

Was ist der Hintergrund?

Zum Hintergrund, warum Microsoft Ende Juli 2023 dieses Playbook veröffentlicht hat, kann man nur spekulieren. Ich denke aber , der Ausgangspunkt der Bemühungen Microsofts und der Veröffentlichung des TokenTheft-Playbooks ist der Skandal um den Hack diverser Microsoft-Dienste durch mutmaßlich chinesische Akteure. Es fliegt für mich gefühlt immer noch unter dem "Radar der Öffentlichkeit", was ich im Blog-Beitrag GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten als "Verdachtsfall", der bisher nicht entkräftet wurde, berichtet.

Zuerst musste Microsoft eingestehen, dass furchtbar böse, aber sehr professionelle, vom Staat in China finanzierte Hacker in einige private und geschäftliche Postfächer von Exchange Online und Outlook.com eindringen konnten. 25 Organisationen waren betroffen – davon auch das US-Außenministerium – gemerkt hat es von Microsoft keiner – nur im US-Außenministerium ist jemand in den Protokolldateien eine ungewöhnliche Aktion aufgefallen (siehe mein Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt sowie den Nachfolgebeitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln). Da tummelten sich die Angreifer aber bereits seit längerem in der Infrastruktur Microsofts und dessen Kunden.

Was da offenbart wurde, ist haarsträubend: Die mutmaßlich chinesischen Hacker der Gruppe Storm-0558 konnten mittels eines irgendwie erlangten privaten MSA-Schlüssels Sicherheitstokens für Exchange Online und Outlook.com generieren und dann ungehindert in die gewünschten Postfächer spazieren, um sich zu bedienen. Das hat Microsoft, verbrämt mit viel Text, letztendlich eingestanden.


Anzeige

Aber die böse Saga geht leider weiter. Sicherheitsforscher von Wiz haben nach der Analyse des Falls und der bekannten Schlüssel öffentlich gemacht, dass der Vorfall noch deutlich brisanter war, als von Microsoft eingestanden. Die Kernaussage von Wiz ist, dass der chinesischer Bedrohungsakteur Storm-0558 an einen AAD-Schlüssel gelangte, mit dem AAD-Tokens für alle Azure-Kundenanwendungen und -Dienste generiert werden konnten.

Damit muss quasi die gesamte Microsoft Cloud prinzipiell als kompromittiert angesehen werden. Letztendlich müsste es jetzt heißen "wirf raus das Zeugs, der Anbieter ist nicht zuverlässig, weil er sich quasi den Zentralschlüssel mit Zugang zu Allem klauen lässt". Aktuell greift niemand diese Frage wirklich lautstark auf, weil Alle irgendwie von Microsofts Cloud abhängig sind. Und Microsoft erzeugt momentan viel Papier, um von obigem Vorfall abzulenken und zu zeigen "wir tun was". Dass der Vorfall ein massives Versagen von Microsofts Organisationsstrukturen in Bezug auf die Cloud-Sicherheit offen legt, soll einem separaten Blog-Beitrag vorbehalten bleiben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

41 Antworten zu Microsoft veröffentlicht TokenTheft-Playbook

  1. Sebastian sagt:

    Nur als Ergänzung:

    Microsoft hat noch mehr -eigentlich mal nur interne- Dokumente auf Github veröffentlicht. Darunter das "Book of Runtime" (https://www.hanselman.com/blog/the-book-of-the-runtime-the-internals-of-the-net-runtime-that-you-wont-find-in-the-documentation) – die interne Anweisung wie mit der .Net Runtime umzugehen ist.

    Auf Remote Services -aka- "Cloud" umzustellen sollte einen doch eigentlich befreien sowas lesen zu müssen – war das nicht das Versprechen?

    Und wie läufts so technisch wie finanziell?

    • Max sagt:

      Es gab diverse Versprechen, aber ich würde das "Cloud Computing" a. k. a. fremde Rechenzentrum nicht grundsätzlich verteufeln; es hat für bestimmte Szenarien durchaus seine Daseinsberechtigung.

      Technisch betrachtet ist "die Cloud" nichts Neues. Und finanziell rentiert sich das fremde Rechenzentrum in der Regel nicht, solange man seine Prozesse nicht auf die vom RZ vorgegebenen Standards pressen kann.

      Derzeit lernt meine Arbeitgeberin bitter, dass es sich für die eigenen Anforderungen nicht lohnt in ein fremdes RZ einzumieten. Finanziell zahlt man wohl ordentlich drauf.

      • mw sagt:

        "fremde Rechenzentrum nicht grundsätzlich verteufeln" ist im Grundsatz richtig, aber nur dann wenn der Nutzer die vollständige Hoheit über die Software hat. Das ist bei SaaS grundsätzlich nicht der Fall. Gegen gemietete Server, ob bare mmetal oder virtuell, spricht zunächst mal nichts. Das dürfte auch kostengünstiger sein, als ein eigenes Rechenzentrum zu betrieben (Skaleneffekt).

      • Bernd sagt:

        Käme für uns auch nicht in Frage – Ausnahme "Exchange".

        • Ralph D. Kärner sagt:

          Für uns kommt Cloud auch nicht für Exchange in Frage.

          • Bernd sagt:

            Können Sie das besser absichern und schneller Patchen als MS? Ich denke NEIN.

            • Daniel A. sagt:

              Bist du da sicher? War da nicht gerade erst was mit einem Generalschlüssel für die MS Cloud, der abhanden gekommen ist?
              Und zudem: Kannst du wirklich kontrollieren, auf welchem Patchlevel der EXO gerade rumgeistert bzw. ob eine gemeldete Sicherheitslücke wirklich nicht auf dem EXO vorliegt? Eher nicht, oder? Das ist alles nur vertrauen darauf, das MS das schon im Griff haben wird. Und wie gut die das können, siehe oben. Ich habe meinen Mailserver dann doch lieber selber in der Hand.

            • Bolko sagt:

              Bei "absichern" haben viele nur Hacker im Visier.
              "absichern" wogegen sollte die Frage sein?
              Wenn man sich auch vor Industriespionage absichern will, dann sollte man seine Firmendaten nicht in eine Microsoft-Cloud oder in irgendeine andere fremde Cloud speichern, sondern man muss auch die volle Kontrolle über diese Cloud haben.
              Was nützt es, wenn Microsoft zwar alle Sicherheitslücken im Griff hat, dann aber die eigentlichen Daten trotzdem abzweigt und weitergibt?

      • John Doe sagt:

        Dann habt ihr das falsche RZ betrachtet.. Es gibt MSSP-RZ-Betreiber in DE die eben nicht so "STARR" sind…. und dann geht das plötzlich auch mit einem "wirklich" guten Preis/Leistungsverhältniss….

  2. mw sagt:

    1. Zitat "vom Staat in China finanzierte Hacker" ist kein bewiesener Fakt, sondern eine Behauptung Microsofts. Hat sicher eine gewisse Wahrscheinlichkeit, aber mehr nicht.

    2. Die gesamte Micrososft Cloud ist kompromittiert. Das ist Fakt. Wenn Verantwortliche nun daran festhalten, weil sie meinen davon abhängig zu sein, ist das m. M. n. nicht nur grob fahrlässig, sondern Vorsatz.

    • Bernd sagt:

      Ach – und wie würden Sie es lösen wenn Sie z.B. 10.000 Benutzer in der Cloud haben? Morgen umziehen? Soll ich lachen?

      • Ralph D. Kärner sagt:

        Genau. Bl0ß kein Geld in die Hand nehmen und eine schlechte Entscheidung revidieren. Ich empfehle die folgende Lektüre:
        https://www.weg-zum-traumjob.de/dakota_indianer.html

        • 1ST1 sagt:

          Morgen umziehen? Wieviele Exchange-Server werden dafür gebraucht? Wie lange braucht man, um die zu bestellen und geliefert zu bekommen? Wie lange braucht man für die notwendigen Netzwerkinfrastruktur drumherum einschließlich der ganzen organisatorischen Dinge dass diese Server überhaupt wieder Mails bekommen statt dass sie in der Cloud landen? Wie lange braucht man um das alles zu installieren, härten, usw? Wie lange dauert die (Rück-)Migration der ganzen Mailbestände, Kalender, usw?

          Morgen?

          Das will wirklich wohl überlegt und gut durchgeplant sein!

        • Bernd sagt:

          Das beantwortet meine Frage nicht. Ist nicht mein Geld und eine schlechte Entscheidung ist und war es nie.

      • Otti sagt:

        Einfach aussitzen und sich mitschuldig machen, ist ja auch viel einfacher und bequemer.

        Solche Leute wie Sie sollten für ihr verantwortungsloses Tun haftbar gemacht werden, Bernd.

        • Bernd sagt:

          ROFL . mitschuldig an was? Brennt Ihnen der Schuh?

          • Otti sagt:

            Ihrem Schreibstil nach scheint Ihr Intellekt sehr beschränkt. Kein Wunder, dass Sie nicht verstehen, wofür Sie Mitschuld tragen.

            Vielleicht würde grundsätzlich ein wenig Bildung helfen, Bernd. Oder trollen Sie einfach nur ziemlich schlecht?

            • Bernd sagt:

              Denke Sie das Sie gebildeter sind als ich? Sind Sie in der IT tätig und wissen wovon Sie reden? Wie auch immer – ich sehe das eben anders als Sie, Otti.

              • Otti sagt:

                das maße ich mir nicht an, aber ich glaube, dazu braucht es nicht allzu viel, wenn man Ihre Kommentare hier liest.

                Ich glaube, das weiß ich ganz gut – im Gegensatz zu Ihnen?

          • Bolko sagt:

            Mitschuldig am Datenklau und dass ein Mitbewerber die Preise unterbietet, weil er diese Kalkulation kennt. aufgrund des Datenklaus.

            Mitschuldig an der Deindustrialisierung, weil die Gegner im Wirtschaftskrieg Vorteile erlangt haben aufgrund der Nachlässigkeit in der deutschen IT.

            Industriespionage hast du gar nicht auf dem Schirm.
            Die Daten der Firma liegen dann "sicher" auf einem fremden Server (Cloud), nur ist die ganze Firma irgendwann weg vom Fenster, weil jemand diese Daten ausgewertet hat, unabhängig von irgendwelchen technischen Sicherheitslücken im Programmcode.

            Aufgrund solcher Industriespionage konnte ein Mitbewerber alle Preisangebote von Siemens (2009) zielsicher und mit scheinbar hellseherischen Fähigkeiten unterbieten, als es um den Bau einer Hochgeschwindigkeitsbahnstrecke in Südkorea ging.
            Airbus wurde mehrfach ausspioniert, von der NSA (2015) und von China (2019).
            So konnte Boeing ebenfalls die geheimen Preisangebote von Airbus unterbieten.
            Sollten da Siemens und Airbus ihre geheimen Firmendaten auf fremden Servern speichern oder besser nicht?
            Programmlücken sind eben nicht alles in Bezug auf Sicherheit, sondern auch, wer wirklich die volle Kontrolle über den Speicher hat.

            • 1ST1 sagt:

              2009 und 2015. Da war sicher alles schon in der Microsoft Cloud?

              Ich glaube eher, dass du gerade schreibst, dass da On-Premise gehackt wurde!

              (2019 wäre plausibel)

    • R.S. sagt:

      Prinzipiell richtig, das die gesamte Microsoft Cloud komprommittiert war.
      Aber: Der geklaute AAD-Schlüssel wurde von Microsoft gesperrt.
      Damit kann man nichts mehr anfangen!

      • M.D. sagt:

        | […] komprommittiert war. […]

        W A R ?

        Bist Du sicher?

      • Günter Born sagt:

        Bin nun ja a bisserl älter – aber so in den Anfangstagen, als Viren aufkamen, hieß es immer "wenn das System kompromittiert wurde, nützt das eliminieren des Virus nichts, man weiß ja nicht, was sonst noch da im System schlummert". Scheint heute nicht mehr zu gelten – und Backdoors sind irgendwas aus dem Reich der Einhörner?

        • R.S. sagt:

          Im Prinzip hast du Recht, das die Hacker da irgendetwas im System eingebaut haben könnten.

          Aber so etwas wie ein Cloudsystem neu aufsetzen, wie soll das gehen?
          Die User wochenlang offline gehen lassen?
          Damit wäre Microsoft einen Großteil der Kunden los, weil die wochenlang handlungsunfähig wären.

          • Günter Born sagt:

            Mir ist das klar, dass man die Cloud bei MS nicht neu aufsetzen kann. Ich speise ja nur Gedanken hier über den Blog ein – und lese mit mit diebischem Vergnügen, wie von einigen Lesern auf Teufel komm raus relativiert wird (um das Eingeständnis zu vermeiden, dass an den Warnungen doch was dran ist). Mir wäre es ja lieber, ich könnte mich in drei Jahren hinstellen und verkünden "Leute, ich habe mich geirrt, Cloud ist gut und sicher". Aber so langsam zeigt sich, dass "die Cloud" den Leuten entgleitet und dass speziell bei Microsoft gravierende Fehler passieren. Ob wir z.B. bald was von AWS oder der Google Cloud hören, wird man abwarten müssen.

            Wenn ich ein Analogon heranziehen darf: Die IT-Landschaft scheint mir aktuell im "spätrömischen Zustand".

            • 1ST1 sagt:

              Es ist egal, ob OnPrem oder Cloud, alles kann gehackt werden und alles wird gehackt. Da gibts technisch keinen Unterschied.

              Bei Versicherung und Schadensersatz gibts aber nen Unterschied.

              • R.S. sagt:

                Es gibt aber einen Unterschied bzgl. der Wahrscheinlichkeit, gehackt zu werden.
                Bei OnPrem erwischen die Hacker nur genau einen, bei Cloud erwischen die Hacker hunderte bis tausende.
                Ein Angriff auf die Cloud ist also sehr viel lohnender als auf einzelne OnPrems.
                Daher erfolgen auch die allermeisten Angriffe auf die Cloud.

          • Olli sagt:

            >>> Die User wochenlang offline gehen lassen?

            Exakt genau das mit allen Konsequenzen! Dann wird auch der letzte Verstanden haben was Cloud bedeutet und das Cloud in 99% aller Fälle ein No go ist. Warum müssen Kinder eigentlich immer erst in Brunnen reinfallen bevor man mal etwas unternimmt? Jeder der auch nur halbwegs bei Sinnen ist wird um Cloud den größtmöglichen Bogen machen und nur das zulassen was nicht vermeidbar ist.

            Mich wundert ob der AAD-Key-Sache allerdings die Ruhe der US-Administration. Die waren ja wohl auch betroffen und dort kann es Niemandem egal sein. Könnte mir vorstellen das da im Hintergrund richtig was los ist.

            Wäre schön wenn die USA selbst Microsoft zerschlagen damit man bei Microsoft endlich lernt das die dortige Schei*e ein Ende haben muss. Denn wenn die EU das verlangt wird es kaum passieren…

            • Günter Born sagt:

              Zu "Ruhe in den USA" schreibe ich noch was. Vielleicht morgen.

            • 1ST1 sagt:

              Also, war auch hier im Blog häufig zu lesen, wenn OnPrem gehackt wird, auch dann sind die jeweiligen Systeme erstmal monatelang offline und die Schreibmaschinen werden entstaubt (sofern sie noch da sind).

              Wo ist da der zeitliche Unterschied (außer dass bei Cloud sehr viele Fimen gleichzeitig die Schreibmaschinen auspacken dürfen). Ich frage nach "Zeitlich" , weil grundsätzlich jeder damit rechnen muss, irgendwann gehackt zu werden. Und da hilft auch keine Software wo jeder reingucken kann.

              • Olli sagt:

                >>> (außer dass bei Cloud sehr viele Fimen gleichzeitig

                Exakt genau das – macht schon einen Unterschied ob eine Firma betroffen ist, oder gleich fast die gesamte Welt…

            • M.D. sagt:

              | […] die Ruhe der US-Administration […]

              Mal ganz blöde verschwörungstheoretisch(?) ins Blaue:

              Es ist allgemein bekannt, dass deren 3-Zeichen-Dienste schnüffeln, was sie können. Je weniger aufwändig das ist, desto besser. Und wenn man ihnen die Daten auch noch freiwillig vor die Füße legt, nehmen die das ohne Danke zu sagen gerne an.

              Wie wäre es in dem Fall eigentlich, wenn dieser ominöse Master-Key bei einem dieser Dienste oder anhängenden Institutionen entfleucht ist? Kann man dann so richtig auf die Kaxxe hauen und Microsoft an den Pranger stellen?

  3. mmusterm sagt:

    Das Playbook hat technisch-inhaltlich mit dem gestohlenen AAD-Schlüssel nichts zu tun.

    Es geht um die Methoden, mit denen man User-Tokens stehlen kann z.B. durch a) Adversary-in-the-middle oder b) Pass-the-cookie.

    Das setzt aber immer voraus, dass auf dem Endgerät Malware installiert (Fall b) oder der User auf eine AiTM-Infrastruktur "reingefallen" ist (Fall a).

    Der Diebstahl des "General-Schlüssels" für Azure AD spielt da in einer ganz anderen Liga.

    • Günter Born sagt:

      Der Abschnitt Untersuchungen stellt auf Triggerbedingungen ab, an denen man eine Token-Verletzung erkennen kann. Und da ist es egal, ob jemand ein Token geklaut oder als Fake selbst generiert hat. Mein ja nur ….

      • mmusterm sagt:

        @Günter: Ich gebe Dir Recht: Die Trigger-Bedingungen sind gleich, egal wie das Token fälschlicherweise ausgestellt oder ob es gestohlen wurde.

        Aber im Gesamt-Kontext des Artikels geht es um die user-/maschinenbezogenen Ursachen für die Komprimitierung.

        Und bei einem Generalschlüssel fehlen halt alle Trigger, die sich auf Maschine oder User beziehen. Denn beide waren ja in den "Fake" nicht involviert. Man hat also viel weniger Anhaltspunkte für eine Komprimitierung, was die Aufdeckung noch schwerer macht.

        Den Artikel, den MS (nur für sich selbst, also die MS-System-Administratoren) schreiben müsste, hätte die Überschrift

        "Key theft playbook – how to secure, detect and mitigate stolen master keys"

  4. bytemaster sagt:

    Dann wird der MS Dreck hoffentlich ein für alle Mal erledigt, auch wenn es an der ein oder anderen Stelle etwas unbequem werden dürfte…

  5. Stefan Kanthak sagt:

    Token-"Diebstahl" gibt's bei M$FT dummerweise nicht nur in deren Klaut: siehe https://skanthak.homepage.t-online.de/tidbits.html#sysiphos bzw. https://skanthak.homepage.t-online.de/quirks.html#quirk44 für nur EIN Beispiel (von VIELEN).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.