'Bredere toegang mogelijk met gestolen encryptiesleutel Microsoft dan gedacht'
Een gestolen encryptiesleutel van Microsoft gaf aanvallers mogelijk meer toegang dan tot nu toe gedacht. Met behulp van de sleutel zouden zij toegang hebben gehad tot meerdere Azure-diensten.
Dit meldt Shir Tamari, hoofd onderzoek bij securitybedrijf Wiz. Eerder deze maand bleek dat aanvallers - vermoedelijk de groep Storm-0558 die is gebaseerd in China - erin zijn geslaagd een interne encryptiesleutel van Microsoft in handen te krijgen. Deze sleutel gebruikt Microsoft voor het ondertekenen van toegangstoken voor zijn online diensten.
Ook impact op andere Azure-diensten
Al langer is duidelijk dat aanvallers hiermee toegang konden krijgen tot e-mailsystemen van klanten van Microsoft. Tamari stelt echter dat via de tokens ook toegang kan worden verkregen tot andere Azure-diensten.
"Onze onderzoekers concluderen dat de gecompromitteerde MSA-sleutel de threat actor in staat kan hebben gesteld toegangstokens voor diverse soorten Azure Active Directory-applicaties na te maken", legt Tamari uit. Het gaat dan onder meer om applicaties die OpenID v2.0 toegangstokens gebruiken. Denk daarbij aan Outlook, SharePoint, OneDrive en Teams.
De gestolen sleutel is volgens Wiz niet van impact op de veiligheid van OpenID V1.0 tokens. Wel is het lek van invloed op OpenID V2.0 tokens, zowel indien klanten eigen applicaties gebruiken die login met Microsoft-functionaliteit ondersteunen of multi-tenant applicaties die hiervan gebruik maken.
Meer informatie is hier beschikbaar.
Meer over Cloud
Over Wouter Hoeffnagel
