In einem Blogbeitrag veröffentlichte Microsoft die brisanten Informationen, die die Ereignisse und Sicherheitslücken, die zu dem Angriff chinesischer Hacker geführt haben, enthüllen.

Der mysteriöse Weg, auf dem die chinesische Hackergruppe an den begehrten Signaturschlüssel von Microsoft gelangte, führte über ein Unternehmenskonto eines Microsoft-Ingenieurs. Dieses Konto ermöglichte den Angreifern den Zugriff auf einen sogenannten Crash-Dump, der den sensiblen Schlüssel enthielt. Dieser Crash-Dump war das Resultat eines Systemabsturzes im April 2021 und sollte den Signaturschlüssel eigentlich überhaupt nicht enthalten.

Besonders ärgerlich für Microsoft war, dass der Crash-Dump, der fälschlicherweise den Schlüssel enthielt, versehentlich aus der isolierten Produktionsumgebung in die Debugging-Umgebung im mit dem Internet verbundenen Unternehmensnetzwerk verschoben wurde. In dieser Debugging-Umgebung konnten die Hacker erfolgreich auf das Konto des Microsoft-Ingenieurs zugreifen. Warum genau der Crash-Dump den Weg in die Debugging-Umgebung fand, ist unklar.

Obwohl es keine spezifischen Protokolle gibt, die den Datenabfluss belegen, geht Microsoft davon aus, dass dies der wahrscheinlichste Weg war, wie die Angreifer Zugriff auf den Signaturschlüssel erlangten.

Um solchen Vorfällen in Zukunft vorzubeugen, hat das Unternehmen eigenen Angaben nach Maßnahmen ergriffen, um seine Sicherheitsprozesse zu verbessern und Schwachstellen zu beheben. Microsoft betonte, dass es kontinuierlich in die Verbesserung seiner Sicherheitssysteme investiert, um solche Vorfälle in Zukunft zu verhindern. Dazu gehören die verbesserte Prävention, Erkennung und Reaktion im Bezug auf wichtiges Material, das fälschlicherweise in Crash-Dumps enthalten ist, sowie verbessertes Scannen von Anmeldeinformationen, um das Vorhandensein eines Signaturschlüssels in der Debugging-Umgebung besser zu erkennen.