{"id":11131,"date":"2024-04-28T15:27:03","date_gmt":"2024-04-28T13:27:03","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=11131"},"modified":"2024-04-28T15:27:25","modified_gmt":"2024-04-28T13:27:25","slug":"microsoft-gesteht-m365-cloud-hack-war-viel-schlimmer","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/microsoft-gesteht-m365-cloud-hack-war-viel-schlimmer\/","title":{"rendered":"Microsoft gesteht: M365 Cloud-Hack war viel schlimmer"},"content":{"rendered":"

B\u00f6se \u00dcberrschung f\u00fcr Kunden der Microsoft Clouddienste: Nachdem Angreifer den Dienst kompromittierten konnten, spielte der Konzern den Vorfall herunter. Nun muss er jedoch zugeben, dass die Attacke weitaus schlimmer war – und durch zahlreiche, schwerwiegende Sicherheitsm\u00e4ngel sowie Vers\u00e4umnisse in Microsofts Cloud-Infrastruktur erm\u00f6glicht wurden.<\/p>\n

Vorgeschichte: Was war passiert?<\/h2>\n

Im Juli 2023 wurden zahlreiche Organisationen in der Microsoft 365 Cloud gehackt<\/a>. \u00dcber ein Monat verging, bis Microsoft den Angriff \u00fcberhaupt bemerkte. Auch das geschah nur, weil sich \u00fcber Wochen hinweg zunehmend Kunden \u00fcber unbefugte Zugriffe beschwerten. Und zwar durch einen MSA-Schl\u00fcssel, mit dem vereinfacht gesagt jeder beliebige Nutzer angemeldet werden kann, ohne dessen Kennwort zu wissen. Microsoft hielt sich damals bedeckt, vermied harte, konkrete Worte. Und betonte, es sei „nur“ Outlook Web kompromittiert worden.<\/p>\n

Damals hielte ich das f\u00fcr irref\u00fchrend und mit hoher Wahrscheinlichkeit falsch: Schon alleine, weil Microsofts Clouddienste \u00fcberall Single-Sign-On<\/em> (SSO) nutzen. Wer sich z.B. in Outlook Web anmeldet, kann auf weitere Clouddienste wie Teams, SharePoint, OneDrive und weitere zugreifen – ohne sich neu anmelden zu m\u00fcssen. Und es gab weitere Gr\u00fcnde: So sprach Microsoft beispielsweise von \u201eimpersonate Azure AD\u201c. Am Azure Active Directory (AAD) Verzeichnisdienst h\u00e4ngen alle Cloudanwendungen des Konzerns. Wer sich als fremder AAD-Benutzer ausgeben kann, der hat Zugriff auf alles, was der bei Microsoft in der Cloud liegen hat.<\/p>\n

Wie fiel Angreifern der goldende MSA-Schl\u00fcssel in die H\u00e4nde?<\/h2>\n

Am 06.09.2023 ver\u00f6ffentlicht der Konzern einen Beitrag mit den Ergebnissen der eigenen Untersuchung.1<\/a><\/sup> Darin wurden nicht nur die Bef\u00fcrchtungen best\u00e4tigt. Die erste \u00dcberraschung: Der Angriff fand nicht im Mai 2023 statt, wie bislang bekannt – sondern geht bis 2021 zur\u00fcck. Im April 2021 ist ein produktives Signiersystem abgest\u00fcrzt und hat einen Schnappschuss (Crash dump<\/em>) von diesem Prozess angelegt. Darin sollten keine Schl\u00fcsseldaten enthalten sein, waren sie aber doch – dies war der erste Fehler aus einer ganzen Reihe von Pannen, die zum GAU f\u00fchrten. Der n\u00e4chste: Sie hatten ein Verfahren, um Schl\u00fcsseldateien zu entfernen. Auch das hat versagt und den Schl\u00fcssel nicht erkannt.<\/p>\n

Dieser Crash dump wurde von der produktiven Umgebung in das interne Microsoft-Netz verschoben. Dort sollten sensible Daten ebenfalls gefiltert werden, ein weiteres Mal haben die Mechanismen versagt. Nach April 2021 wurde ein Microsoft-Mitarbeiter erfolgreich angegriffen, wodurch die Angreifer Zugriff auf das Unternehmensnetzwerk bekam und damit auch auf den Schnappschuss vom abgest\u00fcrzten Prozess, der sensibelste Informationen enth\u00e4lt. Wann genau? Wei\u00df Microsoft nicht, weil sie die Protokolle schon gel\u00f6scht haben. Um Speicher zu sparen, wissen sie nicht mal genau, ob es wirklich so wahr. Sie haben keine Beweise daf\u00fcr, sondern sehen es als wahrscheinlichste Erkl\u00e4rung daf\u00fcr, wie der Angreifer den MSA-Schl\u00fcssel bekommen hat. Zwischenstand dieser interessante: Wir sind bei drei Sicherheitsm\u00e4ngeln.<\/p>\n

Warum konnte ein Privatkunden-Schl\u00fcssel Unternehmen kompromittieren?<\/h2>\n

Der geklaute MFA-Schl\u00fcssel war urspr\u00fcnglich f\u00fcr Privatkunden gedacht. Also Office 365 Abonnenten, Menschen die Windows mit Cloudkonto nutzen usw. Die bekannten Opfer unter den Kunden sind jedoch nicht privat, sondern beispielsweise Regierungsorganisationen. Wie das passieren konnte, wird im Beitrag ebenfalls erkl\u00e4rt: Kunden wollten Anwendungen, die sowohl mit Privat- als auch Unternehmensanwendungen funktionieren. Daher hat Microsoft das zusammengef\u00fchrt, jedoch vers\u00e4umt, in den Bibliotheken eine \u00dcberpr\u00fcfung durchzuf\u00fchren. Die Entwickler von Exchange Online gingen davon aus, die Bibliothek k\u00fcmmert sich schon um alles. Wenn jeder denkt, die anderen werden es richten, tut es am Ende keiner. Diese M\u00e4ngel f\u00fchrten dazu, dass Exchange Online den Schl\u00fcssel f\u00fcr Privatkunden akzeptierte.<\/p>\n

Interessant: Microsoft traut seinem eigenen Firmennetzwerk nicht<\/h2>\n

Im Blogeintrag betont Microsoft ihre stark isolierte und eingeschr\u00e4nkte Produktivumgebung. Dort seien beispielsweise E-Mails, Konferenzen und das Surfen im Web nicht m\u00f6glich, um Angriffe durch Phishing\/Schadsoftware zu verhindern. Die Sicherheitsma\u00dfnahmen im Unternehmensnetzwerk sind dagegen deutlich bescheidener. Deswegen sollte Schl\u00fcssel das produktive Netz nicht verlassen, so Microsoft. Das finde ich bemerkenswert. Was w\u00fcrdet ihr h\u00f6her einstufen: Euer Unternehmensnetz oder die Produktivumgebung? Ich sehe da klar das Unternehmensnetzwerk, es ist schlie\u00dflich das Herz<\/em> des Ganzen.<\/p>\n

Dort befinden sich interne Daten, Zahlungsinformationen und bei einem Softwareunternehmen besonders wichtig: Der Quellcode! Die ganzen Office-Programme wie Outlook, Teams, Edge usw. werden dort entwickelt, eben so wie Windows und der gesamte Azure Cloud-Stack. Ist man drin, kann man Schadcode in die produktive Umgebung ausliefern. Oder noch besser: Software infizieren, die an (bei MS sehr viele) Kunden ausgeliefert wurde. Hatten wir schon mal mit SolarWinds,2<\/a><\/sup> da z\u00e4hlte u.a. Microsoft zu den zahlreichen bekannteren Opfern. Mehrere Monate lang konnten Angreifer bereits von M\u00e4rz bis Dezember 2020 Schadsoftware in zwei Phasen bei Microsoft erfolgreich einschleusen, ohne dass dies dem Konzern auffiel.3<\/a><\/sup><\/p>\n

Die Folgen?<\/h2>\n

Die Tagesschau fasst den Vorfall zusammen, macht aber das Ausma\u00df klar und zitiert Recherchen des SWR. Auch dort stellt man fest, wie Microsoft den Angriff heruntergespielt hat. Hier wird auch ein wichtiger Punkt aufgegriffen, der oft zu kurz kommt: Niemand kennt den genauen Umfang oder wei\u00df, ob die Angreifer Hintert\u00fcren eingebaut haben – immerhin hatten sie Vollzugriff. Manuel H\u00f6ferlin, innenpolitischer Sprecher der FDP-Fraktion stellt zutreffend fest, dass die beste Verschl\u00fcsselung nutzlos ist, wenn der Schl\u00fcssel schlecht gesch\u00fctzt in unbefugte H\u00e4nde ger\u00e4t. Auch setzt er sich f\u00fcr das Schlie\u00dfen von Sicherheitsl\u00fccken ein, statt diese staatlich auszunutzen. Das h\u00e4tte hier zwar nichts geholfen, da das Problem bei Microsoft lag und nicht durch 0-Day Schwachstellen verursacht wurde. Dennoch eine vern\u00fcnftige Haltung.<\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Gegen Ende wird festgestellt, dass das Europ\u00e4ische Parlament stark von Microsoft abh\u00e4ngig ist: Man setzt \u00fcberall auf Windows, Teams, SharePoint und Exchange. Zumindest auf die Cloud-Varianten der letzten Drei hatten Angreifer lange Zeit Zugang, mutma\u00dflich aus China. Das solle man nun pr\u00fcfen. Viel wichtiger finde ich aber die Forderung, sich von Microsoft zu l\u00f6sen und auf freie, selbst verwaltete Software zu wechseln.4<\/a><\/sup> Diesen Schritt ist z.B. Indien bereits gegangen, nachdem sie sich durch Microsoft-Software zahlreiche Ransomware-Sch\u00e4dlinge eingefangen haben. Schon in diesem Beitrag habe ich das bef\u00fcrwortet: Neben verschiedenen Sicherheitsproblemen sind wir auch politisch und finanziell in Abh\u00e4ngigkeit und daher z.B. Preiserh\u00f6hungen recht schutzlos ausgeliefert.5<\/a><\/sup><\/p>\n

Fazit: N\u00e4chster Totalschaden unter den Augen von 3.500 Experten<\/h2>\n

Fassen wir zusammen: Eine Verkettung von f\u00fcnf Schwachstellen bzw. Fehlern hat dazu gef\u00fchrt, dass ein Universalschl\u00fcssel noch m\u00e4chtiger wurde und bis zu 2 Jahre lang in unbefugtem Besitz war. Microsoft selbst sieht das als wahrscheinlichste<\/em> Erkl\u00e4rung, da sie nicht vollst\u00e4ndig bewiesen ist. Dabei zeigte sich, dass der Konzern es mit dem Schutz des Firmennetzwerkes nicht so genau nimmt. Und ironischerweise sogar die eigenen Produkte als Sicherheitsrisiko betrachtet. Bereits das ist mehr als bemerkenswert, nachdem Sicherheit doch eines der zentralen Versprechen der Cloud ist. Microsoft selbst br\u00fcstet sich mit alleine \u00fcber 3.500 Sicherheitsexperten nur f\u00fcr die Azure-Cloud.6<\/a><\/sup><\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

All diese Sicherheitsm\u00e4ngel wurden jedoch trotzdem \u00fcber Monate und Jahre hinweg nicht erkannt. Erst als dutzende Kunden die Einbr\u00fcche meldeten, merkte Microsoft: Wir wurden gehackt. Nach derart schwerwiegenden Qualit\u00e4tsm\u00e4ngeln ist es um so erstaunlicher, dass daran offensichtlich nichts ver\u00e4ndert werden soll, um derartige Katastrophen zu verhindern. Lediglich die gefundenen Probleme beseitigt man.<\/p>\n

Aber was ist mit den strukturellen Problemen? Den Prozess zu verbessern, der den Eimer kaputt gemacht hat, statt nur ein Klebeband \u00fcber das Loch zu kleben? Fehlanzeige. Offensichtlich gibt es gar kein Interesse daran. Man bedenke, wie wir von diesem Cloud-Hack \u00fcberhaupt erfahren haben: Kunden (darunter eine US-Beh\u00f6rde) haben zus\u00e4tzlich zum Abo bezahlt, um Zugriff auf Protokolle zu bekommen. Diesen Zugang haben sie genutzt, die Protokolle \u00fcberwacht und ihnen ist aufgefallen, dass jemand ihre Cloud-Instanz gehackt hat. H\u00e4tten die sich auf Microsofts 3.500 Spezialisten verlassen, wie es der Konzern verspricht, w\u00fcssten wir bis heute nichts davon – und die Angreifer w\u00fcrden auf unbestimmte Zeit weiter Daten aus der Cloud stehlen und manipulieren. W\u00e4re ich Microsoft (Cloud) Kunde, k\u00f6nnte ich sp\u00e4testens jetzt nicht mehr ruhig schlafen…<\/p>\n

Quellen<\/h2>\n
    \n
  1. Results of Major Technical Investigations for Storm-0558 Key Acquisition\r\nhttps:\/\/msrc.microsoft.com\/blog\/2023\/09\/results-of-major-technical-investigations-for-storm-0558-key-acquisition\/ \u21a9\ufe0e<\/a><\/li>\n
  2. https:\/\/www.heise.de\/news\/Falsche-Angaben-bei-IT-Sicherheit-US-Boersenaufsicht-klagt-gegen-Solarwinds-9351468.html \u21a9\ufe0e<\/a><\/li>\n
  3. https:\/\/www.heise.de\/news\/Microsoft-Solarwinds-Hacker-sahen-Code-fuer-Azure-Exchange-und-Intune-5060022.html \u21a9\ufe0e<\/a><\/li>\n
  4. Hacker-Angriff auf Microsoft war gravierend\r\nhttps:\/\/www.tagesschau.de\/investigativ\/swr\/microsoft-outlook-e-mails-sicherheitsluecke-hacker-100.html \u21a9\ufe0e<\/a><\/li>\n
  5. Tsch\u00fcss Microsoft: Warum Indien von Windows zu GNU\/Linux wechselt – sollten wir das auch tun?\r\nhttps:\/\/u-labs.de\/portal\/tschuss-microsoft-warum-indien-von-windows-zu-gnu-linux-wechselt\/ \u21a9\ufe0e<\/a><\/li>\n
  6. Azure Security\r\nhttps:\/\/azure.microsoft.com\/de-de\/explore\/security\/ \u21a9\ufe0e<\/a><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

    B\u00f6se \u00dcberrschung f\u00fcr Kunden der Microsoft Clouddienste: Nachdem Angreifer den Dienst kompromittierten konnten, spielte der Konzern den Vorfall herunter. Nun muss er jedoch zugeben, dass die Attacke weitaus schlimmer war – und durch zahlreiche, schwerwiegende Sicherheitsm\u00e4ngel sowie Vers\u00e4umnisse in Microsofts Cloud-Infrastruktur erm\u00f6glicht wurden. Vorgeschichte: Was war passiert? Im Juli 2023 wurden zahlreiche Organisationen in der …<\/p>\n","protected":false},"author":5,"featured_media":13064,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"[{\"content\":\"Results of Major Technical Investigations for Storm-0558 Key Acquisition
    https:\/\/msrc.microsoft.com\/blog\/2023\/09\/results-of-major-technical-investigations-for-storm-0558-key-acquisition\/\",\"id\":\"3c5c741f-1f10-4c7e-94af-771e68a1cd40\"},{\"content\":\"https:\/\/www.heise.de\/news\/Falsche-Angaben-bei-IT-Sicherheit-US-Boersenaufsicht-klagt-gegen-Solarwinds-9351468.html\",\"id\":\"80c72a32-1229-4710-bbc5-2f4f994e2110\"},{\"content\":\"https:\/\/www.heise.de\/news\/Microsoft-Solarwinds-Hacker-sahen-Code-fuer-Azure-Exchange-und-Intune-5060022.html\",\"id\":\"fe9878e4-5282-41c9-a7df-f3fe8df47d9d\"},{\"content\":\"Hacker-Angriff auf Microsoft war gravierend
    https:\/\/www.tagesschau.de\/investigativ\/swr\/microsoft-outlook-e-mails-sicherheitsluecke-hacker-100.html\",\"id\":\"16abf32b-da3e-4f8f-bc26-061dc43d5b33\"},{\"content\":\"Tsch\u00fcss Microsoft: Warum Indien von Windows zu GNU\/Linux wechselt - sollten wir das auch tun?
    https:\/\/u-labs.de\/portal\/tschuss-microsoft-warum-indien-von-windows-zu-gnu-linux-wechselt\/\",\"id\":\"a2ee7507-f625-4531-bb7a-a294eb8c0ee6\"},{\"content\":\"Azure Security
    https:\/\/azure.microsoft.com\/de-de\/explore\/security\/\",\"id\":\"943c4fe1-d7e4-4eb1-a626-35ce73e2facf\"}]"},"categories":[85],"tags":[488,1073,1038,256,60],"class_list":["post-11131","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit","tag-cloud","tag-clouddienst","tag-hack","tag-microsoft","tag-sicherheitsluecke"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/11131","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=11131"}],"version-history":[{"count":10,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/11131\/revisions"}],"predecessor-version":[{"id":13066,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/11131\/revisions\/13066"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/13064"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=11131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=11131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=11131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}