In juni hebben vermoedelijk Chinese cybercriminelen via een gestolen Microsoft sleutel toegang gekregen tot onder andere de Outlook Web Access (OWA) en Outlook.com omgevingen. Hoe die sleutel gestolen kon worden was lange tijd een raadsel. Sinds gisteren weten we het antwoord op die prangende vraag: een crash dump file.
Het goede aan deze zaak is dat Microsoft, na veel traineren, nu toegeeft dat de fout inherent aan een eigen dienst is. Het slechte aan de zaak is dat crash dump files dus wel terdege veel waardevolle data bevat. De cybercriminelen hebben de sleutel namelijk uit een dergelijk bestand weten te vissen.
De crash dump file in kwestie was oud. “in April 2021 […] a snapshot of the program was made. That crash dump, it turned out, contained a copy of that secret key” (link). Die sleutel had niet in het bestand mogen komen, maar er was geen controle op, terwijl Microsoft al jaren communiceert dat “sensitive” data automatisch wordt verwijderd.
Keten
Daarom ook is er de nodige ophef. Beheerders en ook gebruikers klikken achteloos op de ja knop als wordt gevraagd een dump file te genereren en te versturen. Microsoft heeft immers aangegeven dat belangrijke data die daar in zit of die onderschept en misbruikt kan worden automatisch wordt verwijderd. Maar dat is dus niet het geval en niemand die dat ooit eerder heeft kunnen of willen auditten.
Een hele keten van foutmeldingen en foutanalyses is op het bestaan van deze files gebaseerd. Als die bestanden dan vervolgens een serieus security risico vormen dan is er wel een groot probleem.
Dat het softwarebedrijf bezweert alles nu te hebben verbeterd komt niet goed aan. Het is de overdaad aan bezwerende woorden die argwaan opwekt. De vraag is niet alleen hoe vaak en waar is langs deze weg al eerder toegang tot data verkregen? Maar vooral waarom Microsoft zelf niet eerder heeft gecontroleerd of secret keys in crash dump files kunnen belanden.