Chinezen kaapten overheidsmails dankzij falend Microsoft

Door diverse fouten van Microsoft lukte het cybercriminelen om toegang te krijgen tot tienduizenden e-mails van het ministerie van Binnenlands Zaken van de Verenigde Staten. Dat concludeert het Cyber Safety Review Board (CSRB) van de Amerikaanse overheid.

Cybercriminelen van de Chinese hackersgroep Storm-0558 verschaften zich in juli 2023 toegang tot de e-mails van overheden over de hele wereld, waaronder West-Europese overheidsorganisaties. Uit het onderzoek wordt duidelijk dat een reeks aan fouten ten grondslag ligt aan de gebeurtenissen en dat deze voorkomen hadden kunnen worden.

Bedrijfsnetwerk prijsgegeven

Microsoft gaf vorig jaar per abuis eigenhandig informatie prijs bij een ‘crash dump’ over een met internet verbonden bedrijfsnetwerk. Dit is een systeemcrash die optreedt wanneer Windows niet correct wordt uitgevoerd. In zo'n geval wordt er een bestand aangemaakt dat crash dump wordt genoemd.

De hackers kregen daarmee cruciale informatie in handen en wisten vervolgens binnen te dringen in het bedrijfsaccount van een bij Microsoft werkzame IT’er die toegang had tot een Microsoft-debugging omgeving, een plek waar foutjes in websites worden opgespoord. Ze troffen in zijn account signing keys aan en gebruikten deze ‘sleutels’ om authenticatietokens in te zetten voor Microsoft-accounts naar keuze.

Klanten maakten melding van verdachte activiteit in hun account, maar Microsoft reageerde daar niet op. De Chinezen wisten daarna toegang te krijgen tot overheidsaccounts op Outlook.com, Outlook Web Access in Exchange Online.

Slechte veiligheidscontroles  

Uit de analyse wordt behalve een passieve houding van Microsoft op security-meldingen van klanten ook duidelijk dat er al langer veiligheidscontroles ontbraken die bij andere cloud-aanbieders wel standaard zijn. 

Zo lukte het de techreus niet om een inbraak van de Chinezen in de laptop van de werknemer op te merken, alsmede het feit dat er een signing keys gestolen waren. De onderzoekers noemen de ‘securitycultuur’ bij Microsoft onder de maat en roepen op tot verandering en verbetering. Ze hopen dat de niet alleen Microsoft, maar de hele cloudindustrie samenkomt om de identiteits- en toegangsinfrastructuur drastisch te verbeteren.

Ook stellen de onderzoekers dat Microsoft maandenlang onjuist over de aanval communiceerde. De techreus had wel een vermoeden over hoe de verloren signing keys bij de aanvallers waren beland, maar kreeg nergens bevestiging daarvan. De klanten werd de conclusie echter voorgeschoteld als een vaststaand feit. Daardoor ontbrak  essentiële informatie voor het maken van risicoanalyses.