Nieuws

Microsoft legt uit hoe Chinese hackers veiligheidssleutel konden stelen

Microsoft
© iStock / lcva2
In juli drongen hackers, na een lek bij Microsoft, binnen in de mailboxen van Amerikaans overheidspersoneel.

In juli werd ingebroken op de servers van Microsoft door Chinese hackerspionnen. Microsoft volgde de situatie op onder de naam ‘Storm-0558’, waarmee het de onbekende hacker aanduidt. Bij het hack werden veiligheidssleutels van Microsoft ontvreemd. Met die sleutels kon later binnengedrongen worden in de mailboxen van de Amerikaanse Overheid. Microsoft plaatste woensdag een blogpost, ‘Results of Major Technical Investigations for Storm-0558 Key Acquisition’. Daarin zet het bedrijf uiteen hoe die veiligheidssleutel in de handen van de hackers kon vallen.

Microsoft laat weten dat het zelf niet onschuldig is in de hele affaire. Normaal gezien staan cryptografische sleutels, zoals diegene die gestolen werd, opgeslagen op aparte servers. Die servers staan niet in verbinding met de alledaagse netwerken, waardoor ze in principe in veilig zijn: de omgeving is namelijk geïsoleerd. Om toegang te krijgen tot de beveiligde omgeving, moeten Microsoft-werknemers door heel wat hoepels springen: ze krijgen achtergrondchecks, een beveiligd werkstation, moeten voor alles multifactorauthenticatie gebruiken. Binnen de beveiligde omgeving is communicatie ook gelimiteerd. E-mails, videobellen en opzoekingen op het web zijn er allemaal onmogelijk.

Crashrapport

Het probleem begon toen die beveiligde omgeving het op een dag liet afweten. Bij de crash werd, zoals het hoort, meteen een rapport gegenereerd. Aan de hand daarvan zou Microsoft kunnen zien wat er precies problemen veroorzaakt, om die vervolgens op te lossen. Wat Microsoft niet gezien had, is dat er een veiligheidssleutel mee in dat crashrapport werd opgenomen. De systemen die dat moeten detecteren, zijn intussen bijgewerkt – fouten zoals deze zouden in de toekomst dus niet meer mogen voorkomen.

Normaal gezien zou ook dat niet voor problemen mogen zorgen: het rapport staat wordt namelijk ook in de beveiligde omgeving opgeslaan. Alleen: het personeel dat daarna met die bestanden aan de slag moet, gebruiken daarvoor debugomgevingen die wel aan het internet verbonden zijn. Om aan de slag te kunnen met de rapporten, werden ze dus uit de beveiligde omgeving gehaald.

Microsoft zegt dat ze geen specifiek bewijs hebben dat de hackers op deze manier aan de veiligheidssleutel geraakt zijn. Volgens de technologiereus is dat echter de meest waarschijnlijke verklaring.

Niet meer mogelijk vandaag

Microsoft dichtte al meerdere gaten met betrekking tot het lek van juli. Het type sleutel dat gestolen werd, zal bovendien al geen toegang meer geven tot overheidsaccounts en zakelijke profielen. Ook daar liep het namelijk al fout: normaal gezien verschillen de toegangssleutels voor zakelijke gebruikers van die van particulieren. Dat was hier niet geval. Ook dat defect is inmiddels rechtgezet, meldt Microsoft.

Uitgelicht artikel cyberaanval 42% van leidinggevenden krijgt te maken met cyberaanvallen
BeveiligingbusinesschinacybersecurityhackersmicrosoftStomr-0558

Gerelateerde artikelen

Volg ons

Het is Black Friday bij bol.com!

Het is Black Friday bij bol.com!

Deals scoren