[English]Und es bewegt sich doch, das Microsoft Universum. Auf Anregung der US-Sicherheitsbehörde CISA wird Microsoft seinen Kunden erweiterte Cloud-Protokollierungsfunktionen ohne zusätzliche Kosten bereitstellen. Das soll die Cyberabwehr und die Reaktion auf Vorfälle verbessern und ist eine Reaktion auf den erfolgreichen Angriff chinesischer Hacker (Storm-0558) auf Outlook Online-Konten, die nur durch solche Logging-Funktionen einer US-Behörde aufgefallen sind.
Anzeige
Der Outlook Online-Konten-Hack
Einer mutmaßlich in China angesiedelten Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war es im Juni 2023 gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.
Der Zugriff gelang mit einem Microsoft-Konto (MSA)-Kundenschlüssel, der benutzt wurde, um Token zu fälschen. Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt darüber berichtet und weitere Details im Beitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln nachgetragen.
Im erstgenannten Blog-Beitrag hatte ich auf einen Bericht der CISA (US Cybersecurity and Infrastructure Security Agency) verwiesen, der mehr Details offen legte. So hatte eine zivile Bundesbehörde (Federal Civilian Executive Branch, FCEB) im Juni 2023 verdächtige Aktivitäten in ihrer Microsoft 365 (M365) Cloud-Umgebung festgestellt.
Konkret fielen der betreffenden Bundesbehörde MailItemsAccessed-Ereignisse mit einer unerwarteten ClientAppID und AppID in den M365 Audit-Logs auf. Das Ereignis "MailItemsAccessed" wird erzeugt, wenn lizenzierte Benutzer auf Elemente in Exchange Online-Postfächern über ein beliebiges Verbindungsprotokoll von einem beliebigen Client zugreifen. Die betreffende Behörde erachtete diese Aktivität als verdächtig, da die beobachtete AppId normalerweise nicht auf Postfächer in ihrer Umgebung zugreift, und meldete die Aktivität an Microsoft und die CISA.
Anzeige
Es war also quasi ein Zufallsfund, weil die betreffende Bundesbehörde die erweiterte Protokollierung, insbesondere von MailItemsAccessed-Ereignissen und einer etablierten Basislinie normaler Outlook-Aktivitäten (z. B. erwartete AppID) verwendete und so Verdacht schöpfen konnte. Das MailItemsAccessed-Ereignis ermöglicht die Erkennung von ansonsten schwer zu erkennenden feindlichen Aktivitäten.
Der Bericht der CISA gibt an, dass andere logs die Aufdeckung wohl nicht ermöglicht hätten. Die betreffende Bundesbehörde durfte eine erweiterte Protokollierung, auch bekannt als Purview Audit (Premium)-Protokollierung, zur Überwachung der Aktivitäten in der Cloud und auf den E-Mail-Konten verwenden, wodurch diese Aktivitäten aufzuspüren waren. Vor einigen Jahren haben es zwischen der US-Regierung und Microsoft einen großen öffentlichen Streit wegen der Kosten für den Zugang zu Purview Audit (Premium) gegeben.
Das Agreement zwischen CISA und Microsoft
Der Cybervorfall ließ erstens Microsoft nicht gut aussehen, wie ich in den verlinkten Beiträgen nachgezeichnet habe. Zudem wurde klar, dass Microsoft seinen Cloud-Kunden eine Purview Audit (Premium)-Protokollierung nur gegen Bares bereitstellte.
In obigem Tweet meldet die CISA einen Fortschritt in Sachen Cloud-Sicherheit, den Microsoft jetzt Kunden von Microsoft 365 ermögliche. Im Beitrag CISA and Microsoft Partnership Expands Access to Logging Capabilities Broadly erfährt die staunende Öffentlichkeit, das Microsoft sich arg bewegt hat.
In der CISA-Verlautbarung heißt es, dass auf der Grundlage einer gemeinsamen Partnerschaft zwischen der Cybersecurity and Infrastructure Security Agency (CISA) und Microsoft viele Kunden nun einen Zugang zu erweiterten Cloud-Protokollierungsfunktionen ohne zusätzliche Kosten erhalten. Dies soll die Cyberabwehr und die Reaktion auf Vorfälle verbessern. Die Entscheidung von Microsoft sei ein bedeutender Schritt zur Förderung der Grundsätze des "Security by Design" und ein gutes Beispiel für eine effektive Partnerschaft, die zu einer besseren Cybersicherheit auf nationaler Ebene führt, heißt es in der CISA-Meldung.
Microsoft hat zum 19. Juli 2023 den Blog-Beitrag Chief information security officer collaborating with practitioners in a security operations center. veröffentlicht, der die CISA-Meldung bestätigt. Durch die Verlagerung der IT-Anwendungen in die Cloud spielen aussagefähige Protokolldaten eine wichtige Rolle bei der Reaktion auf Vorfälle, wie oben skizziert.
Eine zentralisierte Sicherheitsüberwachung liefert einen detaillierten, überprüfbaren Einblick, wie verschiedene Identitäten, Anwendungen und Geräte auf die Cloud-Dienste eines Kunden zugreifen. Diese Protokolle selbst verhindern zwar keine Angriffe, aber sie können bei der digitalen Forensik und der Reaktion auf Vorfälle nützlich sein, wenn es darum geht, zu untersuchen, wie ein Eindringen stattgefunden haben könnte, z. B. wenn sich ein Angreifer als autorisierter Benutzer ausgibt.
In den kommenden Monaten will Microsoft weltweit Cloud-Kunden den Zugang zu weiteren Cloud-Sicherheitsprotokollen ohne zusätzliche Kosten ermöglichen. Sobald diese Änderungen in Kraft treten, können Kunden Microsoft Purview Audit nutzen, um mehr Arten von Cloud-Protokolldaten, die in ihrem Unternehmen generiert werden, zentral zu visualisieren, schreibt Microsoft im oben verlinkten Beitrag.
Microsoft Purview Audit ermöglicht Kunden die zentrale Visualisierung von Cloud-Protokolldaten, die in im Unternehmen generiert werden. Dies hilft, effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Ermittlungen und Compliance-Verpflichtungen zu reagieren. Tausende von Benutzer- und Verwaltungsvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen durchgeführt werden, werden in den vereinheitlichten Purview Audit-Protokollen der Kunden erfasst, aufgezeichnet und aufbewahrt.
Gewerbliche und behördliche Kunden mit E5/G5-Lizenzen, die bereits Microsoft Purview Audit (Premium) nutzen, erhalten weiterhin Zugriff auf alle verfügbaren Audit-Protokollierungsereignisse. Dies umfasst auch intelligenter Einblicke, die bei der Ermittlung des Umfangs potenzieller Kompromisse helfen, indem sie die Audit-Protokollsuche im Microsoft Purview Compliance-Portal und die Office 365 Management Activity API nutzen. Zu den zusätzlichen Funktionen von Audit Premium gehören längere Standardaufbewahrungszeiträume und Automatisierungsunterstützung für den Import von Protokolldaten in andere Tools zur Analyse. Und das alles letztendlich als Konsequenz auf den oben skizzierten Sicherheitsvorfall.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3
Anzeige
Es hat irgendwie einen faden Beigeschmack, wenn man als Kunde sehr viel Geld in die IT-Sicherheit investiert und dann bei einer Lösung (z. B. Microsoft 365) möglicherweise trotzdem machtlos ist, weil ein Geschäftspartner den Zugang zu sicherheitskritischen Informationen (treu dem Motto: "Wo es Premium-Features gibt, muss es auch Premium-Informationen geben." 🤑), die über andere Wege möglicherweise nicht / nicht vollumfänglich zur Verfügung stehen / gestellt werden (evtl. Zugangsbeschränkungen für Dritte), nur gegen Bares gewährt.
Aber so ganz habe ich es nicht verstanden: Enthält Purview Audit (Premium) detailliertere Informationen, die bessere Sicherheitsmaßnahmen ermöglichen, als Purview Audit (Standard)? Wenn ja, ist das jetzt als kostenloses Upgrade zu verstehen oder müssen Inhaber einer E3- / E5-Lizenz für mehr Sicherheit die Premium-Variante dazubuchen und "für mehr Sicherheit" blechen?
Nimmt man einen Administrator die Möglichkeit seine Umgebung auszuwerten, nimmt man ihn damit auch gleichzeitig die Möglichkeit seine Umgebung sauber zu verwalten.
Ohne solche Logs ist man im Blindflug unterwegs und in seiner Tätigkeit eingeschränkt.
Es ist halt weiter ein Irrglaube das durch das Verschieben in eine Cloud dem Administrator "Arbeit" abgenommen wird. Sie wird nur Verschoben oder wie in diesem Fall eingeschränkt. Klar ist es weniger Arbeit wenn man gar nicht mehr die Möglichkeit hat tiefer in Strukturen zu gucken, aber DAS ist auch eine Kernaufgabe eines Admins und die Notwendigkeit wird nicht geringer nur weil sie einen genommen oder erschwert wird.
Logfiles gegen Geld ist schon so dreist das sich selbst die Mafia vermutlich schämen würde.
Das Thema kommt in der Tagespresse so gar nicht vor. Neu hüpfende Icons auf dem Handy scheinen relevanter für die Welt zu sein.
Fängt doch schon bei den Smartphones an, wenn das Troubleshooting auf Basis von "das hat nicht geklappt" und nichts weiter basiert. Bei den Geräten kommt man, wenn, nur sehr umständlich an Log-Files.
Aber was erwartet man denn? Mittlerweile sollte doch den meisten bewusst sein, das bei Software von großen Herstellern bei Standarddingen extra Kosten anfallen, die wollen alle nur unser bestes :-). Bugs und Sicherheitslücken bleiben Konsequenzlos, Haftung muss man auch nicht übernehmen und man kann die Kostenschraube ohne Probleme weiter anziehen, wenn das Kartellamt dann mal anruft, senkt man die Preis und entfernt einfach ein paar Features die der Kunden dann als "Extra" dazubuchen kann.
Auf dem Zug springt der Automotivbereich ja auch auf, BMW mit "klar, die Sitzheizung in deinem Neuwagen kostet 3.000 Extra, ach du willst die auch benutzern, dann muss ein kostenpflichtiges Abo abschließen" (https://www.golem.de/news/auto-bmw-bietet-sitzheizung-im-abo-2207-166813.html)
Nein das fängt nicht bei Smartphones an. Das fängt genau bei Microsoft an und schon länger als es Smartphones gibt. Es ist schon immer eine Zumutung, wenn unter Windows etwas schiefgeht, eine nichtssagende Meldung zu bekommen, die 42 Verschiedene Gründe vermuten lässt.
Dann kann man diverse Tools nachinstallieren (falls das System soweit funktioniert) und versuchen den genaueren Grund rauszufinden, nur weil MS alle Fehler unter einer GUI und pauschalen Meldungen versteckt.
Wieso konnte es diese Zugriffe überhaupt geben? Gibt es keine Richtlinien für Conditional Access?
Und wieso wird MS das erst in den kommenden Monaten machen? Sollen sie einfach jedem Tenant die Pruview Lizenz zuweisen. Ging ja mit mit Teams Explonatory auch.
Weil erweitertes Logging auch höheren Rechenaufwand bedeutet?
Deshalb ist bei Windows auch ein Großteil des Loggings per Default abgeschaltet.
Kannst ja mal alles anschalten und dich dann wundern, das der Rechner lahm wird.
Vorher nicht vergessen, die max. Größe der Logdateien sehr sehr deutlich heraufzusetzen (Faktor 100 sollte es schon mindestens sein! Denn da kommen unter Umständen dann auch bei normaler Nutzung schon 20-30 Einträge pro Sekunde!)
Wäre ja alles ok, wenn wenigstens die Suche dann funktionieren würde und die MMC nicht permanten die grätsche macht weil es zu viele Einträge sind.
Mit Boardmitteln ist das extrem umständlich in Windows, man wird qausi gezwungen externe Tools zu verwenden um überhaupt mit den Logs auch nur ansatzweise arbeiten zu können.
Na ja,
in größeren Umgebungen ist ein Logfile-Server doch eh "Pflicht".
Einen ELK hat man aus einem Docker-Image oder auch komplett per Hand schnell hochgezogen.
Das soll den Murks von MS natürlich nicht entschuldigen.
Es ist nicht nur die Rechenleistung, sondern jemand/"etwas" muss das dann auch auswerten und die richtigen Schlüsse ziehen. Terrabytes Logs irgendwo hinzuwerfen alleine hilft da nicht weiter. Oben lesen kann man, dass da einzelne IDs in den Logs auftauchten, die da nichts zu suchen haben. Das ist IMHO die Stecknadel im Heuhaufen. Es kommt also im zweiten Schritt auf das "etwas" an, damit einem diese Logs auch was nützen.
Da könnte Microsoft künftig mit AI punkten – wenn das richtig gefüttert wird.
Es gibt solche Produkte bereits, die mit KI nach eben genau solchen Nadeln in Logdateien und Dateisystemen und ADs suchen. Das ist weder "Syslogserver" noch "SIEM", sondern einen gewaltigen Schritt weiter. Ich nenne hier jetzt aber keine Namen, eine Übersicht über solche Sachen wäre aber mal wirklich ein Thema für einen Blog wie diesen.
Könnte ich mal im Hinterkopf behalten – aktuell habe ich aber keinen wirklichen Überblick – und viele der PMs, die ich erhalten habe, hatte ich unter den Tisch fallen lassen.
Diese Lösungen findet man auch nicht an jeder Straßenecke. Der Deutschlandchef einer solchen Lösung hat vor einigen Wochen mal einen Aufsatz bei einem ihrer geschätzten Bloggerkollegen veröffentlicht. Ansonsten muss man schon bei Gardner suchen, um in diese Kreise zu kommen.
Naja, was die IDs angeht, könnte man das per Script filtern:
Durchsuche die Logs nach IDs und vergleiche die mit einer Datenbank, in der die bekannten IDs drin stehen.
Bei Fund einer ID, die nicht in der Datenbank steht, gibts Alarm.
Kann man täglich automatisiert durchlaufen lassen.
Aber machen muß das jemand.
Die Logs nützen nichts, wenn man die nicht auch regelmäßig anschaut.
Aber das ist ein Problem bei vielen Überwachungsmaßnahmen. Die Logs und Aufzeichnungen etc. werden oft erst dann angeschaut, wenn schon etwas passiert ist.
Aber dann ist es schon zu spät, der Schaden angerichtet.
Sehr interessante Zusammenfassung, danke dafür.
Dass Microsoft die detaillierten Logs, welche die auf technische Unzulänglichkeiten auf Seiten Microsoft zurückzuführende ausgenutzte Sicherheitslücken überhaupt erst detektierbar machen, nur gegen Bezahlung den Kunden zur Verfügung stellt (stellte), ist eine Sauerei sondergleichen.
Naja, es "ist" ja nicht mehr, sondern "war". Jetzt bekommt die Logs ja jeder. Aber was nutzt das alleine? Siehe oben R.S. seime Antwort und meine darauf.