Die US-Regierung wei\u00df mehr als der Hersteller<\/h2>\n
Besser informiert ein Bericht der CISA (US Cybersecurity and Infrastructure Security Agency<\/em>). Sie ist f\u00fcr die Sicherheit der (digitalen) Infrastruktur verantwortlich und beschreibt zumindest, wie der Angriff entdeckt wurde: Bei der routinem\u00e4\u00dfigen Pr\u00fcfung der Audit-Protokolle ist aufgefallen, dass ein un\u00fcblicher Client auf E-Mails mittels Outlook Web (OWA) zugegriffen hat. Dies brachte die anfangs erw\u00e4hnte Pr\u00fcfung ins Rollen, wodurch Microsoft den Angriff viele Wochen sp\u00e4ter bemerkte und reagierte.<\/p>\n Demnach wurde tats\u00e4chlich ein MSA-Schl\u00fcssel von Microsoft entwendet, den Microsoft schlussendlich ersetzte. Unklar bleibt, wie das m\u00f6glich war. Da es ein interner Microsoft-Schl\u00fcssel ist, muss entweder ein Mitarbeiter kompromittiert worden sein. Oder der Angreifer hat Microsofts Systeme gehackt. Grundlage k\u00f6nnte beispielsweise das letzte schwere Sicherheitsproblem in der Azure-Cloud sein, das weitreichenden Zugriff auf zahlreiche interne Systeme f\u00fcr jeden erm\u00f6glichte<\/a>. Aber auch zahlreiche weitere Sicherheitsl\u00fccken kommen in Frage. Beides ist somit absolut realistisch.<\/p>\n Das CISA-Dokument enth\u00e4lt neben der Aufarbeitung auch Schutzma\u00dfnahmen, mit denen Cloudumgebungen sicherer gestaltet werden k\u00f6nnen. Darunter auch das Aktivieren und \u00dcberwachen verschiedener Protokolle. Dies d\u00fcrfte wenig \u00fcberraschen, nachdem der Angriff und die daraus sp\u00e4ter resultierenden Sicherheitsl\u00fccken nur durch solch eine Pr\u00fcfung \u00fcberhaupt aufgefallen sind.<\/p>\n M\u00f6glicherweise weniger bekannt d\u00fcrfte dagegen der Umstand sein, dass der Zugriff auf alle Protokolle nicht in jedem Cloud-Abo von Microsoft enthalten ist. Man kann es auch nicht einzeln dazu buchen, sondern muss sich f\u00fcr das teuerste Abonnement entscheiden. Microsoft 365 E5 beispielsweise enth\u00e4lt alle Audit-Protokolle, schl\u00e4gt daf\u00fcr aber mit derzeit 716,40 Euro zu Buche – pro Mitarbeiter und Jahr versteht sich.<\/p>\n Dies finden auch die Regierungsorganisationen in den USA nicht gut, wie ein Zitat in der Washington Post zeigt. Nach dem SolarWinds-Angriff hatte Microsoft leichte Verbesserungen vorgenommen und zumindest Regierungskunden kostenfrei Zugriff auf umfangreiche Protokolle gew\u00e4hrt – alle „normalen“, privaten Kunden m\u00fcssen nach wie vor mehr bezahlen oder darauf verzichten.<\/p>\n 9 der insgesamt 25 betroffenen Organisationen befinden sich in den USA. Derzeit sind nur zwei \u00f6ffentlich und konkret bekannt: Das Au\u00dfenministerium und Handelsministerium in den USA. Das Au\u00dfenministerium stellte fest, dass es sich um kein Sicherheitsproblem in der eigenen Infrastruktur handelt, sondern um eine Schwachstelle im Clouddienst von Microsoft. Daraufhin informierte das Unternehmen den Konzern. Durch die Beteiligung einer Regierungsorganisation wurde die Schwachstelle \u00f6ffentlich.<\/p>\n Laut der Washington Post sind Anw\u00e4lte f\u00fcr Menschenrecht und Mitglieder von Denkfabriken ebenfalls betroffen, ohne diese namentlich zu nennen. In diesen Branchen ist nat\u00fcrlich mit besonders sensiblen Daten zu rechnen. Erfolgte keine Ende-zu-Ende-Verschl\u00fcsselung<\/a>, sind diese Daten unkontrolliert in fremde H\u00e4nde gelangt. Da diese vollen Zugang zu den Microsoft-Konten hatten, muss sogar von Manipulation ausgegangen werden – kurzum: Die Daten sind kompromittiert.<\/p>\n Laut FBI hatten die Angreifer „nur“ Zugriff auf die Posteing\u00e4nge, in denen zudem keine Verschlussachen liegen sollten. Schon alleine das halte ich f\u00fcr brisant: K\u00f6nnt ihr die Hand daf\u00fcr ins Feuer legen, dass sich jeder Mitarbeiter zu 100% an die Klassifizierung h\u00e4lt? Aus Erfahrung w\u00fcrde ich das definitiv nicht tun. Selbst wenn dort hypothetisch nichts interessantes drin liegt: Der Angreifer kann die Kommunikation manipulieren oder missbrauchen. Phishing und andere Betr\u00fcgereien sind wesentlich erfolgreicher, wenn sie sich auf Kollegen, Projekte und andere vermeintlich harmlose interne Informationen berufen.<\/p>\n Noch brisanter wird es, wenn man die Blogeintr\u00e4ge von Microsoft genau lie\u00dft und kritisch reflektiert: Der Konzern kommuniziert geschickt, um den Eindruck zu erwecken, es sei „lediglich“ Outlook im Web betroffen. Habt ihr euch schon mal an OWA angemeldet? Damit seid ihr in der Regel per SSO auch in andere Microsoft-Dienste eingeloggt. Da die gerne als Abo im Microsoft (ehemals Office) 365 Paket verkauft werden, nutzen v.a. Unternehmen oft noch weitere. <\/p>\n Au\u00dferdem spricht Microsoft von „impersonate Azure AD“. Azure Active Directory ist der zentrale Verzeichnisdienst f\u00fcr alle Clouddienste des Unternehmens. Wenn man sich durch das Zertifikat und die zweite Schwachstelle als AAD-Benutzer ausgeben kann, wie es Microsoft vorsichtig behauptet, dann ist dieses Thema noch weitaus brisanter. Es w\u00fcrde schlussendlich alle Clouddienste des Konzerns betreffen. Scheint Microsoft eben so wenig zu st\u00f6ren, wie die zwei nicht n\u00e4her beschriebenen Angriffsvektoren. Man br\u00fcstet sich im Blog damit, den Angriff entsch\u00e4rft zu haben. Der Schl\u00fcssel wurde ja schlie\u00dflich getauscht – was interessieren da schon Details, wie er \u00fcberhaupt in die H\u00e4nde von Angreifern gekommen ist? \u00c4hnliche Gedanken macht sich auch der Sicherheitsforscher Sicherheitsforscher Kevin Beaumont. Er kritisiert auf Mastodon<\/a> zudem, dass Microsoft Sicherheitsl\u00fccken nicht als solche benennt und keine SVEs vergibt, wie es bei selbst gehosteter Software \u00fcblich ist.<\/p>\n Kurzum: Das wei\u00df man nicht mit Sicherheit, wie bei solchen Angriffen \u00fcblich. Microsoft schreibt sie Storm-0558 zu, die sich auf Spionage gegen Regierungsorganisationen spezialisiert haben sollen. „Storm“ nutzt der Konzern, um neue Hackergruppen zu identifizieren. Dies zeigt, wie wenig dar\u00fcber bekannt ist. Fakt ist, dass Microsoft einen Angreifer entdeckt hat, der aus China heraus operiert. Das kann von der chinesischen Regierung pers\u00f6nlich bis hin zum Angriff unter falscher Flagge von einem anderen Staat alles m\u00f6gliche sein. Digitale Angriffe nachzuverfolgen ist v.a. auf diesem Niveau schwierig. Die US-Regierung selbst hat daher noch keine Gruppe oder Regierung als verantwortlich benannt.<\/p>\n Aus Sicht der IT spielt es keine gro\u00dfe Rolle. Sp\u00e4testens seit dem von Edward Snowden enth\u00fcllten \u00dcberwachungs- und Spionageskandal ist bestens dokumentiert: Alle Industrienationen \u00fcberwachen, spionieren und manipulieren. Ob wir uns gegen China, Russland, oder auch die USA bzw. Gro\u00dfbritannien verteidigen, ist kein fundamentaler Unterschied.<\/p>\n Obwohl Microsoft als Betreiber die Verantwortung f\u00fcr Sicherheitsm\u00e4ngel im eigenen Clouddienst tr\u00e4gt, enthalten die zwei ver\u00f6ffentlichten Blogeintr\u00e4ge sehr viel PR: Man k\u00fcmmert sich, obwohl alles schon sicher ist, werde es zuk\u00fcnftig noch viel sicherer usw. Zum Vorfall selbst enth\u00e4lt es wenig. Obwohl dieser offensichtlich deutlich brisanter ist, als es der Konzern geschickt kommuniziert. Es wird nicht von einer Sicherheitsl\u00fccke gesprochen, obwohl es mindestens zwei gab.<\/p>\nSchutzma\u00dfnahmen kosten bei Microsoft extra<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2023\/07\/image-4.png\")
<\/a><\/figure>\n<\/div>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2023\/07\/image-5.png\")
<\/a><\/figure>\n<\/div>\nWessen Daten wurden gehackt?<\/h2>\n
„Nur“ Outlook – Spielt Microsoft die Brisanz herunter?<\/h2>\n
Wer sind die Angreifer?<\/h2>\n
Fazit: Es dauerte keine 3 Monate bis zur n\u00e4chsten Katastrophe<\/h2>\n