Es war einmal … da verbrachte ich einige Tage Kurz-Urlaub mit meiner Frau in Barcelona. Einen schönen Abend saßen wir noch in einer kleinen Bar bei Tapas und Getränken. Auf dem Nachhauseweg fiel mir auf, dass ich unseren Rucksack unter dem Tisch der Bar hatte stehen lassen.
Eilig machte ich mich auf den Rückweg, um festzustellen, dass der Rucksack weg war und niemand drumherum etwas Auffälliges bemerkt hatte. Rucksack, meine Ray Ban Sonnenbrille, und den Haustürschlüssel aus D, den ich versehentlich im Seitenfach des Rucksacks importiert hatte, waren weg. Natürlich fragte sich meine Ehefrau, ob ein Dieb in Barcelona wissen kann, wo der Schlüssel passen könnte. Am Ende des Kurz-Urlaubs, ließ ich unser Türschloss in D auswechseln.
Das könnte man jetzt für übertrieben halten. Überhöhtes Sicherheitsbedürfnis. Unnötige Ängste. Aktion zur Beruhigung.
Interessant ist, dass vergleichbar größere Ereignisse so gut wie keine Auswirkung in Deutschland haben. Der größte Office-Software Anbieter der Welt kann seinen Hauptschlüssel zum eigenen Cloud-Königreich verlieren und es interessiert niemanden.
Wenn man es genau betrachtet, ist ja alles gar nicht so schlimm. Anscheinend hat eine Angreifer-Gruppe (Storm-0558) eine Art Masterkey für einen Großteil der von diesem Hersteller offerierten Cloud entwendet. Das kann ja schon einmal vorkommen. Mir wurde ja auch mein Schlüssel gestohlen. Hier handelt es sich allerdings eher nicht um einen Haustürschlüssel. Es soll ein sogenannter OpenID Signing Key für das Azure Directory (Azure AD oder ADD) gestohlen worden sein.
Was kann man damit machen? Lt. Informationen u.a. von Heise und Wiz, kann man mit diesem Signing Key Zugangstoken für nahezu alle Benutzerkonten des Herstellers erstellen. Outlook, Office, Sharepoint, Teams … auch in von Unternehmen selbst betriebenen Azure-AD Instanzen und deren Cloud-Applikationen
„The compromised key was trusted to sign any OpenID v2.0 access token for personal accounts and mixed-audience (multi-tenant or personal account) AAD applications.“ Wiz
Alles nicht so schlimm, sagt der Hersteller. Er bietet ja auch gleich noch (alles aus einer Hand ist im IT-Security-Bereich nicht immer gut) eigene Security-Produkte an. Siehe „Wenn der Defender zum Angreifer wird“ Heise Und damit es auch klappt, wird der Patch gleich mitgeliefert CVE-2023-24934.
Alles nicht so schlimm… und meine Frau hat darauf bestanden das Türschloss auszuwechseln…