365-hack via Microsoft had veel breder bereik

De daders achter deze gerichte cyberspionage-operatie zijn er in geslaagd om valide toegangstokens aan te maken voor Exchange Online, wat de cloud-gehoste uitvoering is van Microsofts mail- en agendaserversoftware Exchange. Die tokens zijn gebruikt om weer toegangstokens te 'smeden' voor Outlook Web Access (OWA), wat de webinterface voor Exchange-mailboxen is, en daarnaast ook voor Microsofts maildienst Outlook.com. Volgens cloudsecuritybedrijf Wiz heeft het gevaar van deze succesvolle hackaanval lang niet alleen mail geraakt.

Valide, maar vals aangemaakt

Volgens hoofdonderzoeker Shir Tamari van Wiz gaf de gestolen beveiligingssleutel van Microsoft echter veel meer mogelijkheden. Zo vielen daarmee ook tokens te maken voor Microsofts cloudbeheerplatform Azure Active Directory (AAD), waardoor SharePoint, OneDrive en Teams bereikbaar zouden zijn geweest voor de cyberspionnen. "Organisaties die Microsoft- en Azure-diensten gebruiken, moeten stappen nemen om de mogelijke impact in te schatten", schrijft Tamari dan ook.

Microsoft heeft gemeld dat Outlook.com en Exchange Online de enige applicaties zijn waarvan het bedrijf weet heeft dat die getroffen zijn door de vals aangemaakt toegangstokens. Technisch gezien is hier geen sprake van vervalste tokens, omdat ze immers zijn aangemaakt met de valide sleutel van Microsoft zelf. Alleen is dat aanmaken dus niet door Microsoft gedaan. De onderzoekers van Wiz hebben ontdekt dat de gecompromitteerde sleutel van Microsoft niet alleen van toepassing was op Outlook.com en Exchange Online.

Meer dan mail

De conclusie die Wiz trekt op basis van z'n onderzoek is dat de gestolen sleutel gebruikt kon worden om toegangstokens te creëren voor diverse AAD-applicaties. Daaronder in wezen elke applicatie die persoonlijke authenticatie ondersteunt. Tamari noemt als concrete voorbeelden SharePoint, Teams en OneDrive, maar naast die Microsoft-producten ook nog eens applicaties van klanten die de functionaliteit 'inloggen met Microsoft' ondersteunen. Onder bepaalde omstandigheden zouden ook multi-tenantapplicaties kwetsbaar kunnen zijn voor de gestolen securitysleutel.

Microsoft heeft die sleutel inmiddels allang ingetrokken waardoor hijongeldig is geworden. In het geval van applicaties van derden is het maar de vraag of dat intrekken overal is 'doorgedrongen'. Het is mogelijk dat door caching de geldigheid van de sleutel - en daarmee aangemaakte toegangstokens - nog niet is vervallen. Het advies is dan ook om zulke silo's voor tokens en certificaten geregeld te verversen, tenminste op dagelijkse basis. Maar dan nog is er het risico dat aanvallers toen ze eenmaal binnen waren, via de valide sleutels, hebben gezorgd voor andere manieren om (al dan niet later) weer binnen te komen.

Kwestie van logging?

Wiz wijst erop dat het door gebrek aan logging voor de verificatie van tokens heel moeilijk is voor Microsoft-klanten om te zien of er valselijk aangemaakte tokens zijn gebruikt in hun omgevingen. De onafhankelijke securityconsultant Jake Williams stelt in een tweet dat maar weinig apps van derde partijen aan logging doen en dat nóg minder app-aanbieders die logs delen met hun klanten. Hij spreekt dan ook van een nachtmerriescenario voor het inschatten van de impact van deze hackaanval. Aanvankelijk geeft Microsoft niet al zijn klanten gratis toegang tot hun logs, maar het bedrijf verandert dat, per september.

In een reactie op deze bevindingen stelt Microsoft dat de blogpost van Wiz nogal speculatief is, meldt The Register. Er zou ook geen bewijs zijn dat de aanvallers meer hebben gedaan of geprobeerd dan alleen toegang verkrijgen tot mailboxen van gebruikers, meldt cybersecurity-overheidsorgaan CISA (Cybersecurity and Infrastructure Security Agency) aan The Wall Street Journal. Daaronder zou naast de Amerikaanse minister van Economische Zaken ook de Amerikaanse ambassadeur in China zich bevinden, wist zakenkrant The Wall Street Journal al te melden. Microsoft benadrukt dat klanten zich kunnen wenden tot de blogs die het bedrijf heeft gepubliceerd over deze kwestie en noemt daarbij specifiek de indicatoren van een aanval (indicators of compromise, IOC's) die het bekend heeft gemaakt over deze cyberspionage-aanval.