Nadat Chinese hackers verschillende Westerse overheidsdiensten kon bespieden via een gestolen Microsoft-sleutel, blijft er veel onduidelijkheid over de affaire. De impact zou mogelijk groter zijn dan aangegeven.
Vorige week kwam aan het licht dat Chinese hackers van collectief Storm-0558 konden meelezen in het mailverkeer van 25 Westerse organisaties. Het doel van de aanval was spionage. De hackers konden binnenbreken via nagemaakte digitale sleutels. Zo’n sleutel namaken uit naam van Microsoft kan alleen via een originele private MSA-key van Microsoft zelf. De aanvallers hadden zo’n gevoelige sleutel buitgemaakt.
In navolging van het hack heeft Microsoft de key geblokkeerd, waardoor ook alle nagemaakte sleutels waardeloos worden. Op die manier is het in theorie onmogelijk voor de hackers om verder binnen te breken bij andere bedrijven. Ook de originele slachtoffers zijn in principe opnieuw veilig. Toch zijn er nog vele zaken onduidelijk.
Waar komt de sleutel vandaan?
De belangrijkste vraag is de herkomst van de MSA-sleutel. Die data is extreem gevoelig en kan in de verkeerde handen heel wat schade aanrichten, zoals Storm-0558 heeft aangetoond. Microsoft vertelt niet wat er is misgelopen in de beveiliging van de kritieke key.
Onderzoekers van Whiz Research claimen verder dat de sleutel meer deuren opende dan initieel werd aangegeven. Hoewel de aanvallers zich schijnbaar alleen een weg naar binnen baande in Outlook.com en Exchange Online, konden ze via de MSA-sleutel ook de deur naar andere diensten openen. Verschillende Azure Active Directory-toepassingen zoals SharePoint, Teams, OneDrive en zelfs applicaties van bedrijven die toegankelijk zijn via Login met Microsoft ware kwetsbaar volgens de onderzoekers.
Beperkte logs
Hoewel het acute risico geweken is, merkt Whiz verder op dat het heel moeilijk is voor organisaties om na te gaan of ze het slachtoffer waren van spionage. Dat komt omdat er geen gedetailleerde logs zijn over de verificatie van toegangstokens. Microsoft gaat onder druk van de Amerikaanse overheid wel meer logs delen met gebruikers, zonder dat die daarvoor extra moeten betalen. Dat is al een soort knieval, aangezien de logs voor het hack enkel beschikbaar waren als onderdeel van een betalende formule.
Met de sleutel geblokkeerd is ook de aanvalsvector onbruikbaar, maar Whiz merkt terecht op dat hackers achterpoortjes konden installeren bij slachtoffers. Zonder duidelijke logs of indicatoren van problemen, is het niet zo eenvoudig om meteen te onderzoeken of zoiets is gebeurd.
Speculatie
Microsoft merkt van zijn kant op dat de mensen van Whiz zich vooral baseren op speculatie en niet op bewezen feiten. Het bedrijf geeft aan dat de Indicators of Compromise op z’n eigen blogs accuraat zijn en volstaan om misbruik te detecteren.
Speculeren we ook een beetje, dan zouden we inschatten dat de onderzoekers van Whiz een potentieel scenario blootleggen, dat zich in dit geval waarschijnlijk niet heeft voorgedaan. Dat komt meer door de gerichte aanpak van de hackers, die doelgericht gespioneerd hebben, dan door maatregelen van Microsoft zelf. Storm-0558 had met de MSA-key een mogelijke loper tot het Azure-koninkrijk in handen.