Microsoft muss zugeben: MS365 Cloud-Hack war viel schlimmer, als behauptet

[DMW007]

Kein aber. Da gibt es nichts zu relativieren, das ist eine Nebelkerze. Schon alleine, weil die angebliche Sicherheit eines der zentralen Versprechen von Cloud war: Du gibst deine Daten in fremde Hände, weil die das angeblich viel besser können und die Ressourcen dafür haben, es umzusetzen. Der Nutzen soll höher sein, als das zusätzliche Risiko. Nun zeigt sich aber zum 99sten Mal: Dieses Versprechen wird nicht eingehalten. MS baut überall Telemetrie an um Massen an Daten zu sammeln, in die am Ende nicht mal jemand rein schaut. Und wenn du in deine eigenen schauen möchtest, kostet das extra. Nur so ist dieser Hack überhaupt ans Licht gekommen: Ein Kunde hat den Aufpreis gezahlt, um seine Logs sehen zu können. Dort fand er Zugriffe von unbekannten Geräten. Die hat er an MS gemeldet und ein paar Wochen später mussten sie verkünden: Wir wurden gehackt.

Von dem was sie abliefern, wuseln sich bei MS auch eine Hand voll ITler durch. Nur mit dem Unterschied: Wenn die versagen, ist halt nicht bloß der Betrieb Max Müller betroffen. Sondern über eine Milliarde und das nur bei MS365 (2022). Alleine in Deutschland sind das zehntausende. Darunter sicher auch einige staatliche Einrichtungen, denen ein Vertriebsmitarbeiter von MS oder andere Berater die mit dem Verkauf von Abos satte Provisionen kassieren "Natürlich sind wir DSGVO konform und voll sicher sowieso, schließlich ist MS Marktführer!!111einself" und sonstige blaue Wunder erzählt hat. Mit großer Macht kommt große Verantwortung, das hat MS schon immer nicht sehen wollen. Man schaue nur mal auf z.B. den ersten "Browserkrieg". Da hat es MS mit den fragwürdigen bis illegalen Praktiken so übertrieben, dass sie angeklagt wurden. Die Strafe lautete Zerschlagung. Durch einen Wechsel hin zu einem unternehmensfreundlicheren Präsidenten hatten sie Glück und mussten nur ein bisschen nachsitzen. Nur deswegen ist die Bündelung und das ganze Werbezeugs überhaupt möglich. Wäre das Urteil vollstreckt worden, gäbe es heute mindestens ein eigenes MS für das Betriebssystem und ein zweites für die Anwendersoftware.

[U-Labs YouTube]

Kommentar von @moonkookie:
Sicherheitslücken werden in Deutschland lieber todgeschwiegen. Gerade gestern habe ich von einem Vorfall bei der Kölnmesse gelesen. Jemand hat eine Sicherheitslücke gefunden und sie dem Unternehmen gemeldet. Statt sich darum zu kümmern, wurde er wegen Computersabotage angezeigt. Dafür das er nur die Lücke aufgezeigt hat. Und das vor Monaten.
Das Zeigt wieder das wir in Deutschland im digitalen Mittelalter leben.

[DMW007]

Bei so was muss ich immer an die CDU denken, die haben sich in den letzten Jahren mehrfach genau so daneben benommen. Beispielsweise hatten sie in einer Wahlkampf-App eine Sicherheitslücke, durch die jeder auf persönliche Daten von hunderttausenden potenziellen Wählern zugreifen konnte. Die wurde ihnen von einer Hackerin gemeldet, als "Danke" folgte eine Anzeige von der CDU. Die waren auch noch so dämlich, davor auf Nachfrage von Bürgern zu behaupten, in ihrer App für den Wahlkampf wären gar keine personenbezogenen Daten drin. War also gelogen und statt ihren Murks zu reparieren, pinkelt man dem Bote auf dem Rechtsweg ans Bein. Eventuell war dein Fall sogar einer von dieser Partei, es gab mehrere. Der mit der Wahlkampf-App ist mir nur besonders im Kopf geblieben.

Das traurige ist ja: Unabhängig davon wie bescheuert das Anzeigen von jemandem ist, der einen auf schwere Sicherheitsprobleme aufmerksam macht, ist dieses Vorgehen rechtlich nicht nur in Ordnung. Es hat sogar relativ hohe Chancen auf Erfolg, weil hauptsächlich im Hackerparagraph viele Methoden um Sicherheitslücken aufzuspüren verboten sind. Dies ist ein Grund, warum wir in Deutschland bei IT Sicherheit alles andere als vorne stehen. Selbst wer gute Absichten hat, steht mit einem Bein im Gefängnis. Vorher weiß ja keiner, ob der Gegenüber dem man es meldet vernünftig drauf ist oder mich anzeigt. Außerdem sind die Gerichte oft eher auf Seite des klagenden bzw. verstehen den Sachverhalt nicht und legen die Gesetze restriktiv aus: Wenn zB irgendwo im Quellcode Zugangsdaten für eine Datenbank stehen, man einen Datenbankclient nimmt um in die DB zu schauen, wurde der Datenbankclient schon mal zum Werkzeug gedichtet, das eine Zugangsbeschränkung umgeht.

So was kannst du im Grunde nur als bezahlter Pentester einigermaßen legal machen, wenn der sich vorher schriftlich die Erlaubnis von der betroffenen Organisation holt. Das ist in solchen Szenarien natürlich utopisch. Selbst wenn das ehrenamtliche Hacker in ihrer Freizeit kostenfrei machen würden und Kandidaten wie z.B. die CDU fragen: Die sagen schlicht nein, schon ist das Thema durch. Würde diese Person die gefundene Lücke nicht an die betroffene Partei melden, sondern illegal auf dem Schwarzmarkt verkaufen, wäre sie wohl besser dran. Statt rechtlichen Ärger verdient sie dabei sogar noch Geld. Der kriminelle AG wird wohl nicht anzeigen... da braucht sich keiner zu wundern, dass IT Sicherheit bei uns eher nicht so läuft.

[U-Labs YouTube]

Kommentar von @AtzeDatze:
Früher wurden Firmengeheimnisse vor der Konkurrenz unter Verschluss gehalten, heute laden die Firmen sie freiwillig hoch.
Und wer meint, dass Microsoft nicht überprüft, was da hochgeladen wird, der irrt: Ein Familienvater hatte versehentlich Fotos seiner kleinen Tochter am Strand durch die eingeschaltete Synchronisierung in die Cloud geladen, daraufhin sperrte Microsoft aufgrund nicht erlaubten Content seinen Account.

[DMW007]

Nur: Wer sagt es den Chefs der Unternehmen, denen Vertriebler MS-Dienste als viel sicherer und sowieso besser verkauft haben? Ich habe das Gefühl, dass Führungskräfte dies nicht nach oben kommunizieren wollen. Sonst sind sie derjenige, der das Luftschloss zerplatzen lässt und als Bote den Ärger abbekommt... Weil solche Sachen wie Sicherheitsmängel, Risiken für die Daten, automatische Scans, Kontosperrungen usw. lassen die Verkäufer gerne aus. Einer hatte z.B. sogar mal behauptet, die MS Clouddienste wären nie down

[U-Labs YouTube]

Kommentar von @patrickp731:
Open Source, Cloud, Linux Server oder on Premises Systeme: Am Ende gibt es nirgends einen zuverlässigen Schutz. Linux falsch konfiguriert und mit Drittanbieter Software ist auch fehleranfällig, genau so wie On Prem Systeme in der Regel langsamer gewartet werden wie Cloud Dienste und dadurch das Risiko steigt.

Am Ende des Tages wieder alles in die lokalen Rechenzentren zu verlagern ist genauso falsch wie alles in die Cloud zu bringen. Ein wohl überlegter Mix ist da schon sinnvoller als zu empfehlen, am besten gleich alles bei Microsoft zu kündigen

Die Informationspolitik bei Microsoft ist aber natürlich ohne Frage und völlig unstrittig eine Katastrophe, aber das kennen wir ja bereits von den Exchange 0 Day Exploits

[DMW007]

Diese Relativierung mit Totschlagargumenten ist Teil des Problems. Als nächstes fehlt nur noch die Ohnmacht: Ist gar nicht so wichtig was wir machen, weil schließlich eh alles unsicher ist... Mit dieser Logik kann man so ziemlich alles rechtfertigen: Kettenrauchen ist demnach z.B. auch halb so wild, schließlich gibt es keinen zuverlässigen Schutz gegen Lungenkrebs. Risikofreudiges Fahren mit zu hoher Geschwindigkeit? Wer vorsichtig fährt, kann auch von z.B. einem Falschfahrer umgebracht werden. Die Liste könnte man ewig fortsetzen, weil es nirgendwo im Leben 100% Sicherheit geben kann. Selbst wenn Menschen fehlerfrei wären, gibt es immer noch Naturgewalten.

Die Beispiele sind natürlich in der Pauschalisierung völliger Unsinn, weil das einzig vernünftige was wir tun können immer Risikominimierung ist. Wer regelmäßig raucht, hat z.B. ein um 65% höhere Risiko für einen Herzinfarkt. Der Nichtraucher kann natürlich auch einen bekommen, beim Raucher ist die Wahrscheinlichkeit höher. In der IT ist das nicht anders. Es gibt z.B. die TCB, Trusted Computing Base. Diesem Teil des Systems muss ich vertrauen, weil sonst alles andere nur Marketing-Blabla ist. Dazu gehört immer die Hardware. In dem Moment, wo ich meine Infrastruktur aus der Hand gebe, erhöhe ich erst mal das Risiko. Nun muss ich nämlich nicht nur der Hardware, meinem Personal usw. vertrauen, sondern auch noch dem Cloudanbieter, dessen Personal, Dienstleister usw. Die Frage, die ich hier stellen müsste, lautet also: Haben die ihre Sachen so gut im Griff, dass es sich um nur ein geringes Risiko handelt? Und ist der Mehrwert so groß, damit er dem überwiegt? Wenn beides Ja lautet, hat man einen akzeptablen Kompromiss.

Schaust du dir jetzt an, was MS abliefert, stellt man schnell fest: Das hat mit Sicherheit wenig zu tun. Nicht erst seit diesem Vorfall. MS hat eine ganze Reihe von Sicherheitsmängeln, die für jeden FI-Azubi peinlich wären: In Azure konnte man z.B. auf alle Kundenserver als root zugreifen, weil die einen kaputten Agenten drauf installieren. Lässt man den Authentifizierungsheader weg, überspringt der die Authentifizierung und Autorisierung. Auf so was hast du keinen Einfluss, weil du es gar nicht weißt, bis es mal knallt. Da musst du MS vertrauen, was ich angesichts systematischer Mängel definitiv nicht tun würde. Betreibst du es selbst, hast du es in der Hand. Bei MS ein bisschen auszusteigen, ist wie wenn der Kettenraucher bloß noch 1/2 Schachtel pro Tag raucht: Weniger schlimm, aber deswegen halt noch immer nicht gut. Sein Risiko wäre am geringsten, wenn er gar nicht raucht.

So ist das hier auch und gilt natürlich nicht nur bei MS, nicht mal nur bei Cloud. Atlassian ist z.B. ein mindestens genau so schlampiges Unternehmen. Da werden im Unverstand zig Drittanbieter-Abhängigkeiten eingebaut und nicht mal regelmäßig überwacht, wie sich das als Mindestmaß gehören würde. Zig Jahre später fällt dann durch wahrscheinlich gehackte Kunden auf, dass man da mal was tun sollte und es kommt vielleicht ein Patch. Ich sage bewusst vielleicht, weil die nach einem 0day auch schon mal gesagt haben: Einen Fix machen wir erst mal nicht, wer betroffen ist, soll die Systeme abschalten. Mit solchen Freunden braucht es keine Feinde mehr, unabhängig davon, wer diese Gammelsoftware betreibt. On-Prem schmeißt du Software mit derart schlechter Qualität raus, wenn dir an der Sicherheit gelegen ist. Wer auf M365 setzt, müsste alles raus schmeißen. Und das kennen wir ja vom Desktop: Alternativlos, viel zu groß, to big to fail usw. Vor allem wenn die GF auf Microsofts Marketing herein gefallen ist, traut sich keiner das überhaupt nur vorzuschlagen. Falls doch, wird es im besten Falle bloß abgelehnt. Da wollen viele schon aus Prestige nicht zurück, sonst müsste man zugeben, sich blenden haben zu lassen - unmöglich, ein deutscher CEO macht keine Fehler!

Spätestens jetzt, nachdem MS selbst in ihrer Cloud (die vor ein paar Jahren noch nicht verbrannt war) einen Totalschaden nach dem anderen hat, ist das bekannt. Mittlerweile warnen selbst eingefleischte Windows-Fans vor diesem Konzern. Wer da noch behauptet, er habe das nicht mitbekommen, dem ist Sicherheit nicht so wichtig, wie er behauptet. Ansonsten würde er nämlich ein Auge auf die Sicherheit seiner eingesetzten Software haben. Insbesondere MS, wo mit AAD/Entra zunehmend auch noch das gesamte oder zumindest ein Großteil des Identitätsmanagement dran hängt. Auch das wurde schon kompromittiert, lustigerweise sogar bei einigen eigenen MS Diensten (u.a. Bing). Das kann ich MS zugute halten: Zumindest "Eating your own dog food" betreiben sie anscheinend überwiegend. Den Kunden hilft das zwar nichts, die können das immerhin als Ausrede benutzen: "Aber aber Microsoft als Marktführer war auch betroffen, das muss also schon richtig schlimm heftige kriminelle Energie sein!!111einself"

[U-Labs YouTube]

Kommentar von @rootadmin4371:
Ich finde es interessant, das Microsoft von uns Usern neue teure Hardware für Windows 11 und deren Upgrade 24H2 erfordert und SSE4.2 UND POPCNT sowie TPM verlangt, laut Microsoft zu Sicherheit des Betriebssystems und der Hardware. Und jetzt erfährt man das Microsoft selbst gehackt wurde, also wo bleibt hier die Sicherheit??? Ich kann nur empfehlen auf Linux umzusteigen und bin auch der Überzeugung, dass die Linux Gemeinde nach und nach, Programme, die nur unter Windows laufen in ihre Distributionen, wenn nicht schon vorhanden, mit einbezieht. Bzw. die Softwarehersteller ebenfalls auf den Zug aufspringen und ihre Software für Linux bereitstellen.
Bei Linux laufen eure Prozessoren einmalig und noch dazu ist Linux gratis und bringt eine Vielzahl an gratis Tools und Software mit.

Antwort von @alicethegrinsecatz6011:
Der erste Punkt ist Whatsaboutism. Es ist wichtig, dass Microsoft die Sicherheit der Nutzer erhöht. TPM ist extrem wichtig und an sich eigentlich nicht mal das Maß aller Dinge. TPM ist nicht mal so sicher wie SPUs, wie sie in Smartphones eingebaut werden.
TPM ist mittlerweile auch schon bei nahe eine Dekade alt und sollte eigentlich schon ab Windows 10 der Standard sein. Nur verbauen viele Hersteller zwecks Gewinnmaximierung veraltete TPM-Versionen. Gerade deswegen ist es aber wichtig, dass Microsoft ihre Marktmacht nutzt, um Hersteller zu TPM 2.0 zu nötigen. Lediglich zu kritisieren ist, wie Microsoft Nutzer drängt, upzugraden.
Das hat aber nichts mit deren eigener IT-Sicherheit zu tun. Man sollte nicht ihre Bemühungen durch ihre Schlamperei an anderer Stelle untergraben.

Antwort von @jayfraxtea:
Weil bei der Feuerwehr neulich ein Reifen an einem Einsatzfahrzeug geplatzt ist sollten wir jetzt die Rauchmelderpflicht abschaffen und jeglichen Brandschutz über Bord werfen ... so die Logik unseres rootadmins.

[DMW007]

Wenn du dir anschaust, wie sich MS bei Sicherheitsthemen in der Vergangenheit verhält, wirst du schnell feststellen: Sicherheit war da noch nie großartig hoch von der Priorität her. Die ganzen Office-Makros z.B. sind ein Beispiel von vielen: Jahrelang Einfallstor Nummer 1, um Windows-Umgebungen platt zu machen, in den letzten Jahren vor allem mit Ransomware. MS hat sehr lange zugeschaut, bis ein halbherziger Ansatz kam, den sie gleich wieder zurück zogen. Die Liste könnte man noch weiter führen, die Kurzfassung: MS guckt zu, irgendwann ziehen sie dann nach. Teilweise mit Kopien von Systemen und Konzepten, die andere Betriebssysteme zu der Zeit seit Jahren bereits standardmäßig ausliefern.

Das Grundproblem bei TPM & Secure Boot ist, dass MS damit den PC-Markt kontrolliert. Ein Konzern, der bereits mit Windows ein Monopol besitzt und es schon deswegen einen Interessenkonflikt mit anderen Betriebssystemen gibt. TPM & Secure Boot wären gar nicht so schlecht, wenn sie in den Händen einer unabhängigen Organisation mit klaren Regeln liegen würden und es Wettbewerb geben würde. Wir hatten an anderen Stellen auch ein Vertrauensproblem, beispielsweise Transportverschlüsselung auf Webseiten. Das hat man mit Zertifizierungsstellen gelöst. Nicht perfekt, jedoch gibt es hier eben keine zentrale Stelle, die mir mein Zertifikat verweigern kann. Im Gegenteil, es gibt mit LE seit Jahren sogar eine komplett freie Zertifizierungsstelle, bei der ich nicht mal mehr das Geschäftsmodell mit den verkauften Zertifikaten unterstützen muss. Bei MS gibt es das nicht, die bestimmen, was bootet, wie die Spezifikationen aussehen usw. Komponenten, die zentraler Bestandteil der Sicherheitsarchitektur sein sollen, sind intransparent.

Wenn ich nun hier Aussagen lese, es sei wichtig, wie MS ihre Marktmacht nutzt um das durch zu drücken... da hat die Lobbyarbeit sich offensichtlich ausgezahlt, wenn MS das inzwischen den Leuten nicht mal mehr aufdrängen muss. Vor ein paar Jahren hat selbst das BSI noch festgestellt, dass TPM & Secure Boot mit erheblichen Kontrollverlust einhergehen und forderte die vollständige Kontrolle durch den Geräteeigentümer. Windows 8 wurde daher Sicherheitsrisiko betrachtet, weil MS da anfing, das zu erzwingen. Und gerade das BSI ist bei neuen lustigen Compliance-Spielen normal vorne mit dabei.

Bei so was geht es halt nicht bloß darum, dass jemand irgend eine Box baut und behauptet die ist sicher. Damit sind wir schon oft genug auf die Nase gefallen und sollten es besser wissen. So was schafft bestenfalls etwas weniger Unsicherheit für Leute, die sich um nichts kümmern. Da reden wir dann allerdings nicht mehr von vernünftiger Absicherung nach dem Stand der Technik. Sondern davon, schlechte Sicherheit ein bisschen weniger schlecht zu machen, mit Kollateralschäden für den Rest, denen nicht alles egal ist. Kann man machen, mein Anspruch an ein System, das ich guten Gewissens empfehlen kann, ist das nicht. Insbesondere wenn wir nicht von irgend einem Nischensystemen reden, sondern durch das Monopol von MS vom Großteil des X86 PC-Marktes. Wenn MS sagt, ihr macht jetzt TPM und Secure Boot, ist das in jedem System. Und dann brauchen wir uns nicht wundern, wenn MS wie letztens mal das eine oder andere GNU/Linux abdreht, weil sie den Bootloader für zu unsicher halten. In Zukunft kann nicht mal mehr das Abschalten von Secure Boot als Workaround helfen, weil das in der Spezifikation nicht mehr verlangt wird. In ein paar Jahren kontrolliert MS also wohl den vollständigen Bootprozess - bis auf die 0,X% der Nutzer, die sich Geräte mit Open Source Firmware extra gekauft haben.

[U-Labs YouTube]

Kommentar von @andreabc1469:
Master Key unverschlüsselt im Netzwerk aufbewahren hört sich für mich nach Pfusch an. Auf Diskette rum reichen ist ohne Rohrpost aber auch kaum praktikabel. Ich habe kein MS Konto und auch nur 1X Win auf meinen 7 Rechnern

Antwort von @jayfraxtea:
Klar war's Pfusch, aber wie in dem Beitrag auch mindestens zwei Mal gesagt wurde, wußten die Microsoft-Mitarbeiter (fahrlässigerweise) nicht, dass der Masterkey in dem Dumpfile enthalten war. Eigentlich hätte es ihnen klar sein müssen: wenn der Schlüssel zur Laufzeit im Arbeitsspeicher war, dann ist er vermutlich auch im Dumpfile.
Ein anderes, offensichtliches Problem sprichst Du nicht an: wie kann es sein, dass dieser Masterkey über einen so langen Zeitraum in Benutzung war. Wir sprechen hier über eine interne Microsoft-Infrastruktur, da könnte man das komplette Schlüsselmaterial alle paar Monate wechseln.

Antwort von @andreabc1469:
@jayfraxtea ich denke mit "Master Key" war der Schlüssel zum generieren der Schlüssel gemeint und dann ist es wurscht wie oft der getauscht wird. M$ wird ja nicht so blöd sein und einen Zugangsschlüssel für Mitarbeiten ewig laufen lassen ohne Verfallsdatum

Antwort von @jayfraxtea:
@andreabc1469 , nach dem Vorfall will ich nicht darüber nachdenken, wie dumm oder schlampig sich einige bei Microsoft anstellen. Bei PKIs ist es seit über einem Jahrzehnt gute Praxis, dass man die Root-Schlüssel streng isoliert und mit davon abgeleiteten Intermediate-Zertifikaten, die eine kürzere Laufzeit haben, arbeitet. Für komplett unter der eigenen Kontrolle befindliche Systeme wie Microsoft Entra hätte ich gedacht, dass Microsoft die Signierschlüssel mindestens jährlich tauscht. In meiner Firma machen wir das so ... und wir sind kein weltweit führendes Cloud-Unternehmen mit dreitausendirgendwas Sicherheitsexperten ...