Die Fehlerkomödie, die es Hackern mit chinesischer Unterstützung ermöglichte, den Signaturschlüssel von Microsoft zu stehlen

Im März 2021 gab Microsoft eine massive Cyberattacke bekannt, die seine E-Mail-Software Exchange Server kompromittierte und Zehntausende von Organisationen weltweit betraf. Der Angriff, der einer vom chinesischen Staat gesponserten Hackergruppe namens Hafnium zugeschrieben wurde, nutzte vier bisher unbekannte Schwachstellen in Exchange Server aus, um Zugang zu E-Mail-Konten zu erhalten, Daten zu stehlen und Malware zu installieren.

Aber der Angriff hatte noch eine andere, alarmierendere Folge: Den Hackern gelang es, den Signierschlüssel von Microsoft zu stehlen, der zur Überprüfung der Authentizität und Integrität von Software-Updates verwendet wird. Dies bedeutete, dass die Hacker den gestohlenen Schlüssel verwenden konnten, um bösartigen Code zu signieren und ihn als legitime Updates an ahnungslose Benutzer zu verteilen.

Wie konnte das passieren? Wie konnte ein hochentwickeltes Unternehmen wie Microsoft die Kontrolle über ein so wichtiges Gut verlieren? Und was bedeutet dies für die Sicherheit von Software-Lieferketten?

Die Antwort liegt in einer Komödie von Fehlern: menschliches Versagen, technisches Versagen und organisatorisches Versagen. Dies sind einige der Schlüsselfaktoren, die zu diesem beispiellosen Verstoß beigetragen haben:

– Microsoft verwendete für seine Exchange Server-Updates ein selbstsigniertes Zertifikat anstelle eines von einer vertrauenswürdigen externen Stelle ausgestellten Zertifikats. Dies erleichterte es Hackern, sich als Microsoft auszugeben und Benutzer dazu zu bringen, bösartige Updates zu installieren.

– Microsoft speicherte seinen Signierschlüssel auf einem mit dem Internet verbundenen Server, anstatt ihn in einer sicheren Offline-Umgebung zu isolieren. Dadurch war der Schlüssel für jeden, der auf den Server zugreifen konnte, angreifbar.

– Microsoft hat es versäumt, angemessene Sicherheitskontrollen auf seinem Signaturserver zu implementieren, wie etwa Verschlüsselung, Authentifizierung, Protokollierung und Überwachung. Dies ermöglichte es Hackern, sich unbemerkt Zugang zum Server zu verschaffen und dessen Konfiguration zu ändern.

– Microsoft hielt sich nicht an das Prinzip der geringsten Privilegien, d.h. es wurde jedem Benutzer oder Prozess nur der minimal notwendige Zugriff gewährt. Stattdessen gewährte es seinem Signaturserver volle administrative Rechte, was es Hackern ermöglichte, beliebige Befehle auszuführen und den Schlüssel zu stehlen.

– Microsoft verfügte nicht über einen robusten Plan zur Reaktion auf den Vorfall, der es ihm ermöglicht hätte, den Angriff zu erkennen, einzudämmen und zu entschärfen. Microsoft brauchte mehrere Wochen, um die Sicherheitslücke zu entdecken und seine Kunden zu benachrichtigen, was den Hackern reichlich Zeit gab, den gestohlenen Schlüssel auszunutzen.

Diese Fehler verdeutlichen, wie eine einzige Schwachstelle eine ganze Software-Lieferkette gefährden und Millionen von Benutzern in Gefahr bringen kann. Sie machen auch deutlich, dass Softwareentwickler und -anbieter bewährte Verfahren zum Schutz ihrer Schlüssel und Signierprozesse anwenden müssen, wie z. B.:

– Verwenden Sie Zertifikate von akkreditierten Stellen, die strenge Überprüfungs- und Widerrufsrichtlinien anwenden.

– Speicherung von Signaturschlüsseln in Hardware-Sicherheitsmodulen (HSMs), die physischen und logischen Schutz vor unbefugtem Zugriff bieten.

– Implementieren Sie Sicherheitskontrollen wie Verschlüsselung, Authentifizierung, Protokollierung und Überwachung auf Signaturservern und Netzwerken.

– Befolgen Sie das Prinzip der geringsten Privilegien und wenden Sie das Prinzip der Tiefenverteidigung an, d.h. die Verwendung mehrerer Sicherheitsebenen zum Schutz kritischer Ressourcen.

– Verfügen Sie über einen klaren und umfassenden Plan zur Reaktion auf Vorfälle, einschließlich regelmäßiger Tests und Aktualisierungen.

Der Diebstahl des Signierschlüssels von Microsoft war ein Weckruf für die Softwarebranche und eine Erinnerung daran, wie wichtig der Schutz von Software-Lieferketten ist. Indem sie aus diesem Vorfall lernen und diese Best Practices anwenden, können Softwareentwickler und -anbieter ähnliche Angriffe in Zukunft verhindern und die Zuverlässigkeit ihrer Produkte sicherstellen.