De signing key van Microsoft waarmee aanvallers toegang kregen tot de e-mails van overheden en andere klanten die bij het techbedrijf werden gehost is uit een crash dump gestolen, zo stelt Microsoft in een analyse. Afgelopen juli maakte het techbedrijf bekend dat aanvallers toegang hadden gekregen tot de e-mailaccounts van zo'n 25 organisaties, waaronder overheden in West-Europa, en een niet nader genoemd aantal eindgebruikers. Slachtoffers hadden hun e-mail bij Outlook.com en Outlook Web Access (OWA) in Exchange Online ondergebracht.
Een maand lang hadden aanvallen naar verluidt toegang tot honderdduizenden e-mails. De Amerikaanse senator Ron Wyden vond dat Microsoft nalatig was bij het beveiligen van de e-mail en de Amerikaanse overheid kondigde een onderzoek naar de e-maildiefstal aan. Sinds de aankondiging van de aanval had Microsoft geen idee hoe de signing key kon worden gestolen. Om toegang tot de accounts van klanten te krijgen maakten de aanvallers gebruik van vervalste tokens die door middel van een Microsoft account (MSA) consumer signing key waren gemaakt.
In een blogposting stelt Microsoft nu dat in april 2021 zich een crash in een geïsoleerd productienetwerk voordeed waarbij de crash dump de signing key bevatte. Dit had volgens het techbedrijf niet mogen gebeuren, maar door een race condition was dit toch het geval. De aanwezigheid van de signing key in de crash dump werd daarnaast niet door de systemen van Microsoft ontdekt.
De crash dump ging vervolgens van het geïsoleerde netwerk naar de debugging omgeving op het met internet verbonden bedrijfsnetwerk van Microsoft. Nadat de crash dump was verplaatst wisten de aanvallers het bedrijfsaccount van een Microsoft-engineer te compromitteren. Deze engineer had toegang tot de debugging omgeving waar de crash dump met de key stond. Microsoft zegt dat het geen logs heeft waaruit blijkt dat de crash dump door de betreffende aanvaller is gestolen, maar stelt dat dit de meest voor de hand liggende verklaring is hoe de aanvaller de key in handen heeft gekregen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.