Nach dem geklauten Master-Key für Azure: Hilfestellung von Microsoft

Microsoft hat ein Playbook zur Vorgehensweise beim Verdacht auf Diebstahl eines Zugangs-Tokens für die Azure-Cloud veröffentlicht. Es soll Azure-Nutzern helfen festzustellen, ob ihre Organisation von einem Token-Diebstahl betroffen ist und ob es Hintertüren und kompromittierte Zugänge und ihrem Azure AD gibt.

Das Playbook (deutschsprachige Version) beschreibt, wie man Microsoft Sentinel oder ein anderes SIEM-Tool (Security Information and Event Management) so konfiguriert, dass dort alle relevanten Ereignisse und Protokolleinträge zusammenlaufen, und ungewöhnliche Aktivitäten in den Bereichen Identitäten, Anmelde- und Überwachungsprotokolle, Office-Apps und Endgeräte erkennt. Dazu gibt es zahlreiche Hinweise, wie man eine Kompromittierung erkennt und gegebenenfalls eindämmt, sowie Maßnahmen zur Wiederherstellung eines sicheren Zustands. Begleitet wird das Playbook von einer schematischen Darstellung des Vorgehens.

Die Veröffentlichung des Playbooks erfolgt, nachdem vor wenigen Wochen bekannt wurde, dass ein Hackerangriff aus China auf Exchange-Online-Accounts von Regierungsbehörden mithilfe gefälschter Zugangs-Tokens für die Azure-Cloud stattgefunden hat. Es stellte sich heraus, dass die Angreifer offenbar einen mächtigen Masterkey für große Teile der Microsoft-Cloud gestohlen haben, der ihnen potenziell auch Zugriff auf andere Organisationen und Dienste in Azure erlaubt. Bislang ist das genaue Ausmaß jedoch unklar, auch, weil Microsoft wenige Informationen zu dem Vorfall herausgegeben hat.

Jürgen Schmidt von heise Security hat vor wenigen Tagen den aktuellen Erkenntnisstand und die vielen offen Fragen rund um Microsofts gestohlenen Schlüssel zusammengefasst. Zusammen mit der heise-Security-Pro-Community hat er Liste von Fragen entwickelt, die Azure-Nutzer an Microsoft stellen können.

(odi)