[English]Die Tage musste Microsoft eingestehen, dass mutmaßlich chinesische Hacker der Gruppe Storm-0558 mittels eines gestohlenen privaten MSA-Schlüssels Sicherheitstokens fälschen und dann breit auf Microsoft Cloud-Dienste zugreifen konnten. Es geht also nicht nur um die Möglichkeit, auf Konten bei Exchange Online und Outlook.com zuzugreifen, was Microsoft ja kürzlich eingestanden hatte.
Anzeige
Bisher bekannt: Outlook-Konten-Hack
Einer mutmaßlich in China angesiedelten Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war es im Juni 2023 gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.
Hintergrund war, dass die Angreifer in den Besitz eines privaten (MSA)-Kundenschlüssels für Microsoft-Konten gelangten. Dieser MSA-Key konnte benutzt werden, um Sicherheitstoken zu generieren (fälschen). Aber diese Sicherheitstokens ließen sich nicht nur für private Microsoft-Konten (z.B. Outlook.com) einsetzen. Auf Grund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und ermöglichten den Zugriff auf Azure AD-Konten (inzwischen IntraID-Konten genannt).
Microsoft hatte das offiziell eingestanden, spielte aber den Vorfall herunter – ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt darüber berichtet. In einem Beitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln habe ich weitere Details, die von Microsoft in einem Folgebeitrag öffentlich gemacht wurden, berichtet. So hat Microsoft zwar den MSA-Key (und weitere Keys) für ungültig erklärt, sowie die Bugs im Code der Azure-Dienste beseitigt. Anschließen konnte man dann auch beobachten, dass die Angreifer auf andere Methoden auswichen. Aber Microsoft gestand in einem Artikel ein, dass bisher unbekannt war, wie die Storm-0588 genannte Gruppe überhaupt an den intern bei Microsoft verwendeten (und eigentlich inaktiven) MSA-Key gelangen konnten. Klassisch haben die alten Griechen dies als Damoklesschwert bezeichnet.
Breiter Zugriff auf Azure AD möglich
Nun haben Sicherheitsforscher von Wiz öffentlich gemacht, dass der Vorfall noch deutlich brisanter war, als überhaupt von Microsoft eingestanden. Nachfolgender Tweet von Ami Luttwak, CEO und Gründer von Wiz legt das offen.
Anzeige
Die Kernaussage ist, dass der Microsoft Storm-0558 Vorfall viel gravierender als bisher bekannt sei. Der chinesischer Bedrohungsakteur hatte sich Zugang zu einem AAD-Schlüssel verschafft, mit dem AAD-Tokens signiert und gefälscht werden können. Das bedeutet, dass Azure-Kundenanwendungen ebenfalls betroffen sein können. In einer Serie an Folge-Tweets werden Details offen gelegt, die den Wiz Sicherheitsforschern bekannt sind. Die Details lassen sich auch in diesem Wiz-Blogbeitrag nachlesen.
Während Microsoft berichtet, dass die Bedrohungsakteure Exchange Online und outlook.com kompromittiert haben, sei der tatsächliche Umfang der gefährdeten Anwendungen viel breiter gewesen, schreiben die Sicherheitsforscher. Denn Wiz Research hat den jüngsten Sicherheitsvorfall genauer unter die Lupe genommen. Dabei hat man festgestellt, dass es sich bei dem kompromittierten Microsoft-Schlüssel um einen "Skelettschlüssel" handelt, der für Microsofts MSA-Tenant in Azure genutzt werden kann. Das eröffnet nicht nur den Zugang zu outlook.com und Exchange Online, sondern reißt die Büchse der Pandora weit auf. Denn mit dem Schlüssel ließen sich auch Sicherheitstokens für Azure-Anwendungen generieren. Dazu heißt es:
The compromised Microsoft signing key potentially allows the threat actors to forge access tokens for ALL Microsoft's personal account services and any Azure Active Directory (AAD) applications supporting both multi-tenancy and Microsoft's OpenID v2.0 implementation.
Der kompromittierte Microsoft-Signierschlüssel ermöglicht es den Bedrohungsakteuren, Zugriffstoken für alle persönlichen Kontodienste von Microsoft und alle Azure Active Directory (AAD)-Anwendungen zu fälschen, die sowohl Multi-Tenancy als auch die OpenID v2.0-Implementierung von Microsoft unterstützen.
Sprich: Der GAU ist da, denn es bedeutet, dass alle Anwendungen, die die Funktion "Anmelden mit Microsoft" verwenden, ebenfalls betroffen sein könnten. Wer das ganze potentielle Desaster erkennen will, kann dies in diesem Wiz-Blogbeitrag nachlesen.
Was können Admins tun?
Es ist zwar zu vermuten, dass die Storm-558-Hacker nur ausgesuchte Konten auf outlook.com und Exchange Online im Visier hatten. Aber es kann niemals ausgeschlossen werden, dass weitere Azure AD-Konten (Azure AD heißt inzwischen EntraID) im Rahmen dieser Aktion vorsorglich kompromittiert wurden. Nachfolgendes Bild gibt eine Übersicht, was an Anwendungstypen betroffen sein kann.
Betroffene Anwendungstypen; Quelle: Wiz
Das umfasst von Azure Active Directory-Anwendungen (EntraID-Anwendungen), die "Nur persönliche Microsoft-Konten" unterstützen und mit dem Microsoft-Protokoll v2.0 arbeiten, die betroffen sein können. Dazu gehören verwaltete Microsoft-Anwendungen wie Outlook, SharePoint, OneDrive und Teams sowie Kundenanwendungen, die die Microsoft-Konto-Authentifizierung unterstützen (auch Anwendungen, die die Funktion "Anmeldung mit Microsoft" zulassen).
Es betrifft potentiell aber auch jede Azure Active Directory-Anwendung, die "mixed audience" (oder multi-tenant) unterstützt und mit dem Microsoft-Protokoll v2.0 arbeitet. Denn der Bedrohungsakteur konnte gültige Zugriffstoken fälschen und sich als Anwendungsbenutzer ausgeben, die sich mit ihrem persönlichen Microsoft-Konto angemeldet hatten.
Administratoren sollten daher die Anwendungszugriffsprotokolle überprüfen, um sicherzustellen, dass diese Konten nicht von Storm-0558 betroffen sind. Weitere Tipps zur Vorbeugung und Früherkennung finden sich in diesem Wiz-Blogbeitrag.
Abschließende Gedanken
Wir hatten ja im Blog häufiger diskutiert, wie sicher oder unsicher die Cloud sei. Eines der Argumente für die Cloud war ja, dass sich der Anbieter dort um die Sicherheit kümmert und in der Regel besser als kleine Firmen-ITs aufgestellt sei. Das Gegenargument war, dass man auf den Anbieter angewiesen sei und ein Hack (der als unwahrscheinlich angesehen wurde, bei Google ist mir bisher nichts dergleichen bekannt) der Cloud-Infrastruktur gleich viele Nutzer betrifft. Der obige Abriss hat jetzt die Büchse der Pandora weit geöffnet und eine Blick gewährt, wie wackelig die moderne IT mit weltweiter Vernetzung geworden ist.
Ergänzung: Laut diesem Artikel bestreitet Microsoft, dass außer outlook.com-Konten weitere Konten gehackt wurden. Viele der im Wiz Blogbeitrag aufgestellten Behauptungen seien, laut einem Microsoft-Sprecher "spekulativ und nicht evidenzbasiert". "Wir haben außerdem vor kurzem die Verfügbarkeit von Sicherheitsprotokollen erweitert und sie für mehr Kunden standardmäßig kostenlos gemacht, um Unternehmen bei der Bewältigung einer zunehmend komplexen Bedrohungslandschaft zu unterstützen." heißt es vom Sprecher.
Die Wiz-Forscher zeigten sich überrascht über die Reaktion von Microsoft und erklärten gegenüber Recorded Future News, dass ihr Blogbeitrag vom Microsoft Security Response Center Team "überprüft und validiert" wurde.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0588: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3
Anzeige
Ab wann sind diese Lügen von Microsoft eigentlich Betrug gegenüber den zahlenden Kunden?
Aus der Diskussion sollten wir uns hier im Blog heraus halten. Das ist Sache der Kunden und des Anbieters. Hier im Beitrag geht es darum, aufzuzeigen, was war, was Microsoft bestätigt und was Dritte aus dem Bereich der Sicherheitsfirmen an Implikationen öffentlich machen. Das ist schon ein dickes Brett, was gebohrt werden kann. Vielleicht ein Weckruf an IT-Entscheider, mal innezuhalten und grundsätzlich zu hinterfragen, ob das "Sprech der Berater und IT-Strategen" noch zielführend ist.
Ich denke, die Frage von Stephan war rhetorisch. Alles in allem werden wohl tatsächlich diverse Rechtsabteilungen in den nächsten Tagen um Einschätzungen gebeten werden, ist meine Vermutung. Ich bin so froh, dass in Falle meines Arbeitsplatzes der Landesdatenschutzbeauftragte alles verbietet, was mit "microsoft" und "online" zu tun hat. Es ist wirklich entspannend, nicht jeden Tag gegen Berater-Schlipse und sonstige Unternehmen, die einen bei der Erkennung von den vielen tollen Vorteilen von SaaS gegen eine – wie immer aus Sicht des beratenden Unternehmens geringen – Gebühr unterstützen wollen, antreten zu müssen.
Was mir aus dem Text nicht ganz klar geworden ist :
Waren die Hacker so gut, war es Schlampigkeit von MS oder hat MS vorsätzlich Sicherheitsvorkehrungen missachtet ?
Auch wenn im Text steht, dass noch nicht klar ist, wie die Hacker an die internen Daten gekommen sind.
Zur Schlampigkeit von MS oder Missachtung von Sicherheitsvorkehrungen: Zum ersten Prädikat schaust Du dir die Erkenntnisse der letzten drei MS-Jahre in Bezug auf Produkt- und Update-Releases samt der "stattgefundenen MS-QS" an und ziehst deinen eigenen Schluss.
Fakt ist, dass es im Code der Azure-Dienste Bugs gab, die auch die Authentifizierung der Sicherheitstokens im Azure AD zuließen, obwohl der MSA-Key für einen anderen Zweck (private Konten in outlook.com) vorgesehen war (wenn ich es nicht ganz verpeilt habe).
Zum zweiten Prädikat: Ob vorsätzlich gegen Sicherheitsvorkehrungen verstoßen wurde, werde wir ohne Kenntnisse der bei MS getroffenen Sicherheitsvorkehrungen und der Details des betreffenden Angriffs wohl nie herausfinden. Daher ist die Frage nicht beantwortbar.
Das Beef im obigem Artikel ist doch ein anderes: Obwohl die Cloud als so sicher propagiert wird und Microsoft (O-Ton hier im Blog) Tausende Mitarbeiter in Sachen Sicherheit beschäftigt, war es möglich, dass ein gewitzter Akteur an einen MSA-Key kam. Mit diesem konnte er sich Sicherheitstokens generieren, mit denen er durch alle Konten spazieren durfte, die dieses Microsoft Single-Sign-On (Anmelden mit …) verwendeten – der Akteur hatte quasi den "Generalschlüssel", mit dem der Hausmeister alle Türen öffnen kann – bildlich gesprochen. Ach ja: Gemerkt hat es nur eine aufmerksame Mannschaft eines Kunden, die entsprechende Log-Möglichkeiten von Microsoft zugestanden bekamen und diese Logs auch durchsahen.
Zitat :" der Akteur hatte quasi den "Generalschlüssel" "
Das meinte ich mit vorsätzlich. Also eher unangemessen leichtfertig.
Ich stecke nicht tief genug in dem Thema drin aber so ein Generalzugang sollte auch besonders abgesichert sein, eher extrem.
Waren also die Hacker besonders gut (im Sinne von kein System ist wirklich sicher bzw. so ein Bug/Hintertür kann immer gefunden werden) oder war MS leichtfertig und war der Meinung, die Sicherheit wird schon reichen ?
Ohne interne Kenntnisse wird das Wohl niemand wissen, das hast Du schon geschrieben aber Du hast zumindest mehr Einblick als z.B. ich.
Zumindest bestätigt sich immer wieder mein Respekt vor der Cloud (bei sensiblen Daten).
Solche Informationen, wie diese hier im Blog, finden nicht den Weg in die Entscheidungsetagen des normalen Business und kleiner Verwaltungen. Und wenn man sie dort hin trägt, wird die Brisanz heruntergespielt.
So zumindest meine Erfahrungen.
Wir leben in einer schlecht administrierten Welt.
Der Einsatz von immer mehr IT ist alternativlos gestellt, ohne eine belastbare Betriebsprognose in Eigenregie zu ermöglichen.
Fehlende sichere Betriebsbasen und unterirdische Effizienz der Prozesse, gepaart mit einem Mangel an für geeignet gehaltenem, ausreichend billigem Personal in und um die IT, sorgen für Druck ins Outsourcing und die Cloud.
Fehlende Transparenz nicht nur im Cloudbetrieb, sondern auch beim Outsourcing, das zunehmend in der Cloud landet, sorgt dann für eine nicht mehr kalkulierbare Gefährdungslage, die man nach Gusto interpretieren kann.
Getrieben von klar ersichtlichen Gefährdungen im Eigenbetrieb, muss die Cloud dann einfach als sicher interpretiert werden, komme was da wolle. Auch die Outsourcing-Unternehmen interpretieren sich zunehmend da hin.
Denn DASS man alles wild digitalisieren MUSS, ist politisch, sowie durch das durch Argumente nicht mehr angreifbare Prinzip Werbung-ersetzt-Information, agitativ alternativlos gestellt.
Und andere gangbare Alternativen bleiben dann nicht mehr.
Diese administrativen, gesellschaftlichen Defizite müssen meines Erachtens erst nicht mehr kaschierbaren, nationalen Schaden anrichten, bevor sich da was ändern kann.
Ich hoffe mal, der Schaden bleibt dann an Institutionen oder Firmen hängen und nicht an eher unbeteiligten Menschen.
Das bleibt immer am kleinsten Glied in der Kette hängen. Und das ist nun mal der Benutzer oder der Kunde. Wenn es keine Gesetze gibt die solche Verhältnisse und Vorgänge unter Strafe stellen wird sich nichts ändern. Entscheidungsträger müssen auch persönlich haften, nicht nur finanziell sondern auch mit Haftstrafen bedacht werden. Denn wenn es kein Risiko gibt wird es halt gemacht. Auch Firmen die so etwas verursachen müssen es spüren. Und zwar mit Prozenten vom Gewinn. Und doch bitte zweistellige Prozentzahlen aufwärts.
@ Daniel – Sie fordern Unsinn. Wenn so gehandelt würde, werden keinerlei Entscheidungen mehr getroffen, aus Angst die Falsche zu treffen.
Nein! Auch in der IT gehört Produkthaftung, in jeder anderer Branche funktioniert das ja auch. Würde ich bei meinen Produkten so schlampen säße ich längst im Knast!
Nur ITler reden sich immer raus! Nicht machbar blablabla… Es ist machbar aber dazu müssen Köpfe rollen!
Nein — das was Daniel fordert, ist doch längst so. Vorstände von Aktiengesellschaften z.B. haften immer persönlich. Oder: Das Schweizer Datenschutzgesetz sieht bei Verstößen explizit keine Haftung juristischer, sondern nur natürlicher Personen vor. Etwaige Strafen dürfen weder vom Unternehmen noch von einer Versicherung übernommen werden.
Verschärfend kommt noch der Fachkräftemangel in der IT hinzu.
Da sagt man sich in einigen Firmen evtl.:
Da wir die nötigen IT-Fachkräfte nicht bekommen, lagern wir das Zeugs in die Cloud aus.
Was Berater angeht:
In meiner Firma kommen die nicht mal ins Gebäude.
Was den Fall angeht:
Es wäre wirklich interessant, zu erfahren, wie die Hacker an den Schlüssel gekommen sind.
Den IT-Fachkräftemangel gibt es nicht. Es gibt nur einen Mangel an für geeignet gehaltenem Fachpersonal.
Das habe ich bei Bewerbungsverfahren Ost genug erlebt. Da wird aussortiert, dass einem schwindelig wird und zum Schluss gab es lieber gar kein Personal. So wie heute ausgesiebt wird, wäre ich nie in einem IT-Job gelandet.
Und derzeit schaue ich mich selbst aktiv nach was Neuem um und 100%ig passende Stellen, inkl. Eignungsnachweisen, erzeugen postwendend nebulöse Absagen.
Aber, ich bin halt nicht mehr der Jüngste. Und das sage ich deshalb, weil mir schon ernsthaft empfohlen wurde, aufgrund meines Alters lieber in anderen Bereichen zu suchen.
Während man für mich schon nach Ersatz sucht, darf ich – aufgrund der Sondersituatiom, dass das mein Nachfolger werden soll – dann ab und zu einen Blick auf Bewerbungen werfen.
Diverse passende Bewerbungen, die alle im Pool der Ausgesonderten gelandet sind.
So wird das nichts.
Verblieben im Pool sind ein paar geeignete Schwerbehinderte, weil "es teuer werden kann, die nicht einzuladen".
Alles in Allem gut zwei dutzend vollständig geeignete Bewerbungen auf eine mittelmäßig bezahlte, sehr anspruchsvolle Stelle. Mit drei richtig erfahrenen Leuten, die aussortiert wurden.
Wenn das der Fachkräftemangel ist… naja…
Über die Jahre, wo ich nicht alle Bewerbungen sehen konnte, haben wir "natürlich" keine guten Bewerber gehabt. Wer es glaubt…
Wir sind eine ganz unangenehme Ausschlussgesellschaft geworden, die Leute aus den albernsten Gründen aussortiert.
Ich musste wirklich laut lachen, als ich zu einer Bewerbung gesagt bekam, der hätte ja völlig das Falsche gelernt, obwohl der genau die Ausbildung hatte, die ohne Abstriche als einzige gepasst hätte.
Der Fachkräftemangel spielt sich also nicht in der IT, sondern ganz woanders ab.
@ Andy, bei mir wären Sie gerne gesehen. Ich interessiere mich für den Menschen und für seine Erfahrungen. Sehr gerne auch motivierte Quereinsteiger.
Danke @Bernd.
Ich wechsele aber vermutlich eh raus aus dem IT-Bereich. Im Moment habe ich imho noch das passende Alter, um meine anderen Qualifikationen in gute Jobs mit dort nicht altersbegrenztem Entwicklungspotential umzumünzen. ;)
Du meinst, es werden Leute gesucht, die ein abgeschlossenes Informatikstudium und 10 Jahre Berufserfahrung haben, aber max. 30 Jahre alt sind (eher max. 25 Jahre)?
Oder absolute Fachidioten mit Nischenwissen von Dingen in der Nische der Nische. (z.B. jemanden zum Schrauben festdrehen und der Bewerber wird nicht genommen, weil er bisher nur Inbusschrauben festgedreht hat, gesucht wird aber jemand, der Torxschrauben festdrehen soll).
Konkret da wo ich derzeit arbeite: jemand mit einer "passenden" Berufsausbildung, der aber den Wissensumfang eines Studierten hat und sich zusätzlich mit einigen fremdfachlichen Arbeitsbereichen auskennt, also mehrere Jahre Erfahrung im konkreten Bereich hat. Wer solche Erfahrung hat, der verdient im Bestand aber deutlich mehr, da er da noch als Studierter gesucht war.
Dafür wird meine bisherige Stelle dann aber wohl zu 2 Stellen.
Bei meinen Bewerbungen woanders wurde mir halt gesagt, ich sei einfach zu alt. Durch dritte.
Die Arbeitsmarktsuchlage ist auch nicht mehr wie vor 20 Jahren, wo wir solche Witze gemacht haben. Heute ist eher keine oder wenig Erfahrung gefragt, vielleicht so 3 Jahre im oberen Bereich. Eine immer wiederkehrende Floskel ist aber "wir sind ein junges, dynamisches Team".
Scheint aktuell ein Qualitätsmerkmal für die Arbeit der Firmen darzustellen.
Der Mensch, der Server im Rack festschraubt und die ordentlich verkabelt, wird natürlich auch gesucht. Da gibt es imho sogar eine eigene Ausbildung für. Die habe ich aber nicht. :)
Oder es war eine Expertenweiterbildung. Ich erinnere mich da nicht so genau, weil ich gedanklich beim Lesen der verfügbaren Ausbildungen immer wieder umgefallen bin vor Lachen über das Menschenbild, das hinter dem Aufstellen eines Ausbildungserfordernisses bei solchen Tätigkeiten stehen muss.
Wenn ich nicht gerade einen kleinen Schlaganfall hatte beim Gedanken daran, wie wenig die Leute dann lernen durften, bevor sie dieselben Stellen ausfüllen sollen, die früher für ein Studium waren.
Es gibt scheinbar weitläufig die Idee, dass man Generalisten durch berufsausgebildete ersetzen kann. Im Zweifel dann durch mehr davon. Die dann übrigens "Fachkräfte" heißen und durch eine quasi magische Bedarfsvermehrung zur Mangelware werden? Well done. :)
@Andy
Zum Thema Fachkräftemangel habe ich schon seit einiger Zeit genau diese Vermutung.
Es gibt keinen Fachkräftemangel! Allerhöchstens ein Mangel an Fachkräften die für nen Billiglohn malochen wollen!
Und gerade in der IT total übertrieben und falsche Stellenbeschreibungen! Ne Fima muss eben auch mal bereit sein in einen Bewerber zu investieren wenn er nicht zu 100% dem Profil entspricht!
Auch nen 95% passender Bewerber kann die Firma weiterbringen!
Fachkräftemangel ist einzig und alleine das Pseudonym für : wir kriegen keine billigeren Lohnsklaven!
Das ist alles sehr unschön gelaufen. Ohne es jetzt zu relativieren sollten wir aber nicht außer Acht lassen,das auch On-Prem IT durchaus noch anfälliger sein kann. Es gibt sicher dutzende KMUs und Unternehmen die bereits gehackt sind es aber nicht nicht bemerkt haben. Wer kann sich schon viele Top-Security-Spezialisten leisten.
Und wird jemand den Schritt zuende denken, dass jeder interessierte US-Dienst im Namen der nationalen Sicherheit auch einen solchen Schlüssel haben könnte?
Kann man selbst beantworten, oder den Spruch von Einstein zur Unendlichkeit heranziehen oder würfeln …
Wenn das wirklich stimmt, dann hat Microsoft ganz schön was zu erklären und das muss auch Konsequenzen haben. Die Frage ist aber, in wie weit hatten die Leute von "Wiz" tatsächlich Einblick, oder ziehen sie ihre Schlüsse aus dem, was man öffentlich lesen kann? Wiz baut seine Herleitung ausschließlich aus einem inzwischen gelöschten öffentlichen Schlüssel (ohne in die Gleichung archive.org einzubeziehen) auf, das allerdings ziemlich schlüssig.
Aber die Aussagen von Wiz sind mir dazu noch zu schwammig, man ließt überall z.B. "could have allowed", "could have theoretically used", "could forge", "could have crafted", "could have then impersonated", "could have leveraged", "could have occurred" . Could = Könnte = Spekulation. "Could" ist eines der am häufigsten allgemeinsprachlichen Worte in dem Artikel. Ob Microsoft diese Spekulationen bestätigt, bleibt abzuwarten. Auch Wiz weiß nicht, wie die Hacker an den MSA-Schlüssel kamen und sie fragen sich zu Recht, ob noch weitere solche MSA-Schlüssel erbeutet wurden.
Eine Frage, die sich MS auf jeden Fall gefallen lassen muss, ist, warum kann man solche Keys ohne zweiten Faktor (Authenticator App oder ähnliches) einsetzen?
Und eine weitere Frage ist, Enterprise-Tenants sind ja eigentlich mit einem vom Kunden festgelegten Schlüssel verschlüsselt ( https://learn.microsoft.com/en-us/azure/security/fundamentals/encryption-overview ) , kamen "die" mit ihrem MSA-Schlüssel auch da rein? Das wäre in der Tat der Supergau.
Soweit ich den Artikel im Wiz-Blog verstanden habe, handelt es sich um einen von mehreren Schlüsseln für die Verwaltung von Microsoft Accounts, also solchen, die bei der Windows-Installation angelegt werden oder mit denen man sich ein Postfach bei Outlook.com einrichten kann. Direkt in die Enterprise-Tenants kamen die damit nicht rein, aber:
Laut dem Wiz-Blog kann man in Anwendungen in Enterprise-Tenants die Anmeldung mit Microsoft-Accounts zulassen. Wenn das bei einer Anwendung eingestellt wurde, könnten die Hacker über diesen Weg in den Tenant gelangen. Das sollte jeder Admin in seinem Tenant prüfen und soweit möglich abstellen.
Eine andere Frage, die nur Microsoft beantworten kann: Man erhält ja keine dedizierten Server bei Azure/EntraID. Wie sind also die Azure-Instanzen in der Microsoft Cloud-Infrastruktur voneinander getrennt und "gegeneinander" abgesichert? Von daher kann man nicht sagen, wie weit die Hacker tatsächlich gekommen sind und – wie von Wiz spekuliert wird – ob sie sich nicht zwischenzeitlich unentdeckte Zugänge geschaffen haben, mit denen sie weiterhin Zugriff auf Teile der Azure-Infrastruktur haben.
Bin mal gespannt, was die "Experten" von Gartner dazu sagen werden, ich zitiere mal aus einem derer Werke – https://www.gartner.de/de/artikel/ist-die-cloud-sicher:
===========================
Ist die Cloud sicher?
[…]
In fast allen Fällen ist es der Benutzer, nicht der Cloud-Anbieter, der die Kontrollen, die zum Schutz der Daten einer Organisation verwendet werden, nicht verwaltet.
„Übertriebene Ängste können zu entgangenen Chancen und unangemessenen Ausgaben führen."
„CIOs müssen sicherstellen, dass ihre Sicherheitsteams ihre Cloud-Initiativen nicht mit unbegründeten Sicherheitsbedenken zurückhalten", sagt Jay Heiser, Vice President Analyst bei Gartner.
[…]
Bis zum Jahr 2025 werden 99 % der Sicherheitsausfälle im Cloud-Bereich auf Kundenfehler zurückzuführen sein.
===========================
Leider findet dieser Analysten- und Experten-"Bullshit" immer zuverlässig den Weg in die Management-Etagen und wird dort auch nur wenig hinterfragt (bestenfalls) oder gar als Argumentation gegen die internen Entscheidungen verwendet.
naja der Server wird ja nicht selbst auf die Phishing Mail geklickt haben ;-P
Irgend wer hat die ja "reingelassen"… In 99% sitzt die Lücke genau zwischen Stuhl und Keyboard!
Entweder als der der durch unbedachtes Klicken Tür und Tor geöffnet hat oder indem er beim Proggen gepfuscht hat und die Lücken damit ermöglichte … in Zukunft kann man das vielleicht auf ne KI schieben… vielleicht! Also ja in dem Punkt hat Gardner vollkommen recht!
Hach, Gartner und die IT-Sicherheit. Eine Geschichte voller Missverständnisse.
Da hatte ich vor ungefähr zwei Jahren ein Gespräch mit einem anderen IT-Security-"Spezialisten" über die Interpretation des "Stand der Technik" in den einschlägigen Werken zur juristischen IT-Sicherheit.
Also eigentlich war es kein Gespräch. Denn der wollte mich davon überzeugen, dass das alles ganz einfach sei. Man müsse einfach nur Technik von Herstellern kaufen, die im Gartner-Quadranten dieses Bereichs oben rechts stehen. Am besten den am weitesten oben rechts, dann sei man am sichersten.
Dann könne niemand den "Stand der Technik" kritisieren und alles sei schick.
Ich fand das lustig und habe mich da auch fleißig drüber lustig gemacht. Bis ich auf immer mehr solcher Äußerungen stieß. Ist wohl sehr verbreitet, Gartner-oben-rechts zu kaufen, weil Gartner wohl der Manager-Maßstab für Sicherheit ist.
Ist ja auch nicht so kompliziert, wie das ganze Zeug, was diese Nerds so mit IT-Sicherheit in Verbindung bringen. ;)
Es gibt eine ausgeprägte Gartner-Blase da draußen, in der es sich auch "High-Class"-Beraterfirmen und jede Menge .. ich nenne sie mal .. Influencer gemütlich eingerichtet haben.
Wenn man als im Bereich wirklich Arbeitender trotz aller Vorsicht mit dieser Blase in Kontakt kommt, kann das erhebliche Kopfschmerzen auslösen.
»die Interpretation des "Stand der Technik" in den einschlägigen Werken zur juristischen IT-Sicherheit.« ist aber das vor Gericht Relevante.
Gartner-oben-rechts zu kaufen kann man also als Versicherungspolice des Entscheiders gegen Haftung verstehen.
Es macht auch Versicherungspolicen zur IT-Sicherheit günstiger.
Mit Zugriff auf die Konten bei outlook.com stellt sich mir die Frage, ob die Angreifer damit auch auf die Windows-Betriebssysteminstallationen zugreifen können. Diese wurden/werden teilweise auch via Store installiert und haben auch ohne Microsoft-Konto eine enge Verbindung zum Hersteller.
Das scheint ohne Kooperation der Chinesen mit Innentäter oder Kenntnis der Quellcodes der Software gar nicht möglich gewesen zu sein.
@r.s.
Solche Leute wurden schon immer gesucht.
Weil sie due geringsten Gehaltsforderungen stellrn.
DAS ist doch der Grund für das Hochpuschen des Fachkäfte Mangels und der Forderung das gut Ausgebildete Menschen für wenig Geld hier arbeiten.
Es gibt keinen echten Markt bei existentiellen Gütern.
Die Arbeitgeber sind strukturell immer im Vorteil.
Der Arbeitnehmer weiß I.d.R. nicht wie viel seine Arbeit wert ist.
Schon innerhalb der Firma wird den Mitarbeitern verboten mit Kollegen über das Gehalt zu reden, obwohl das gar nicht Verboten werden darf.
Und natürlich haben wir das Problem, das immer weniger Menschen geboren werden. Weil Kinder haben ein ganz großes ArmutsvProblem darstellt.
Aber das ist für diesen Blog natürlich viel zu weit über den Tellerrand geschaut.
Schon immer galt die Regel:
Es ist nicht möglich zu verhindern das man gehackt wirdDie Frage ist nur wann, und wie groß der Schaden ist.
Der Fehler dass das möglich war und ist lag doch daran, das Microsoft seinen Kunden keinen vollen Zugriff auf alle Logs gegeben hat.
Zum einen aus Geldgier, zum anderen um zu verhindern, das auf diesem Weg staatliche Schnuffei bekannt würde, auf deren Verrät hohe Strafen in den USA stehen.
Das da irgendwelche Programmier oder Struktur Fehler hinzukamen war halt Pech. Das passiert nun msl.
Aber Logzugriffe zu verhindern hat irgendwer ausdrücklich so bestimmt.
Wie ich schon in einem anderen Artikel zu dem Thema schrieb. "Große Logs" alleine nützen dir garnichts. Ein großer Log schreibt dir nur erstmal ein Storage voll. Die müssen auch ausgewertet werden. Und je mehr Logs du hast, um so aufwändiger wird das. Dass dieser Fall erkannt wurde, ist die Stecknadel im Heuhaufen, eine unbekannte ID in einem riesen Wust an Log-Daten. Das wurde ganz sicher nicht von Hand ausgewertet.
"Wegschmeißen ist einfacher"
Soweit ich das verstanden habe, haben die meisten Kunden diese Information garnicht bekommen, weil es ihnen zu teuer war.
Früher hat das die Mafia gemacht und nannte sich "Schutzgeld Erpressung".
Wenn ich zu viele Infos bekomme, kann ich sie wegwerfen.
Microsoft hat ja auch eingesehen, daß sie zuweit gegangen sind und liefern diese Informationen nun ohne Aufpreis.
Ja, vielen war das zu teuer, nicht nur wegen des Premium-Zugangs an sich, sondern auch wegen der Auswertungssoftware, die man dazu zusätzlich braucht. Das kann teurer werden als alles andere zusammen.
Was ich jetzt noch immer nicht verstanden habe, ist ob alle Azure Ad Tenants weltweit davon betroffen waren oder nur ein Tenant sowie alle anderen Tenants die mit diesem verbunden waren inkl der Applications die darin integriert waren.
Kann das bitte jemand klarstellen? Danke!
Im Artikel stand was von etwa 25 Tenants, bei denen auf dem Weg eingebrochen wurde. Können aber tatsächlich auch mehr sein. Aufgrund der Menge an existierenden Tenants aber sicher nicht jeder.
Das wird erst der Anfang gewesen sein. Denke mal, Hacker aus den speziellen Länder, nenne absichtlich keine Namen, haben nach diesem Erfolg noch ganz andere Sachen in Petto. Glücklich, der vor längerer Zeit, die Zeichen waren da, bereits Vorsorge getroffen hat und seine Daten nach Hause geholt, bzw. größere Cloudverwaltungen außen vor gelassen hat.
Man muss es glaube ich mal aus einer anderen Sicthweise betrachten:
Bei einem kleinen Mittelständler der verschlüsselt wurde bzw. bei dem man einen Hacker in der AD vermutet, würde jede IT-Securityfirma sagen:
Dein Netzwerkwerk ist kompromittiert, du kannst hier nix mehr vertrauen.
Also platt machen und einmal neu machen bitte schön.
Man könnte die genannte Analyse durchaus so interpretieren das die Azure Geschichte jetzt auch quasi übernommen wurde und man ihr nicht mehr vertrauen kann.
Warum fordert denn niemand das MS das jetzt alles neu aufsetzt?.
Ja, natürlich haben die bestimmt ein Siem laufen das da irgendwelche Logs hat. Aber wie lange gehen die zurück?. Wie lange sind die Angreifer breeits im Besitz der notwendigen Daten?.
Wir sehen hier gerade den schlimmsten Unfall für eine Cloud Architektur anstelle von dezentralen Netzwerken. Ich hatte das ja mal so verstanden das das Internet gerade deswegen so resilent ist, weil es eben nicht so Zentral ist.
Überlegt doch nur mal wie hoch der Schaden für die Volkswirtschaften Weltweit sein könnte wenn so ein Fall von "wir müssen mal alles neuaufsetzen" in der MS Cloud passieren würde.
"Ich hatte das ja mal so verstanden das das Internet gerade deswegen so resilent ist, weil es eben nicht so Zentral ist."
Genau das war auch ursprünglich das Ziel.
Die Vermaschung sollte das Netz resilent machen gegen Störungen.
Auch z.B. TCP/IP ist nach diesen Vorgaben entwickelt worden.
Aber das Ziel kann schon sehr lange nicht mehr eingehalten werden.
Das fängt schon damit an, das man wenige sehr große Netzknoten hat (z.B. in Deutschland DE-CIX, der weltweit größte Netzknoten mit 6 TB pro Sekunde!) anstatt sehr vieler kleiner Netzknoten.
Gibt es beim DE-CIX einen Ausfall, dann spürt man das unmittelbar in ganz Deutschland und halb Europa. In der ursprünglichen Konzeption des Intenets darf der Ausfall von 1 oder sogar mehreren Netzknoten nicht zur Beeinträchtigung des Internets führen.
Und auch die Cloud zentralisiert Dinge, die eigentlich möglichst dezentral organisiert sein sollten.
Das Problem sind, so glaube ich, nicht die großen Knoten, die ja wiederum ein Netzwerk in sich selbst sind. Der DE-CIX besteht ja auch aus mehreren Standorten die untereinander vermascht sind. Eigentlich müsste halt jeder Diensteanbieter oder Provider auch wiederum mit mindestens zwei Standorten bzw. besser zwei Internetkonten verbunden sein- Das ist halt nicht immer der Fall. Ich persönlich hatte auch immer ein anderes Verständnis der Ausfallsicherheit beim Internet.
Als Admin habe ich die Backup Anbindung fürs Internet auch kleiner dimensioniert und dann mit Bandbreitenmanagement dafür gesorgt das gewisse Dienste wie Telefonie halt auch dann weiterhin ordentlich funktionieren, dauert halt der normale HTTPS Download mal etwas länger aber der Betrieb läuft trotzdem weiter.
Wenn der DE-CIX ausfällt darf man das dementsprechend, meiner Meinung nach, auch merken. Es sollte halt nicht sein das dann gar nichts mehr in halb Europa geht.
Ich sehe hier eher Dienstanbieter wie Microsoft, Google, AWS und Cloudflare kritisch da darüber dermaßen viel abgewickelt wird. Man sieht ja auch immer wieder wo Cloudflare drinsteckt wenn die mal ein Problem haben.
Wer sagt denn dass der DE-CIX ein Single-Point-of-Failure hat? Das ist dort alles hoch redundant, auch räumlich.
Eben nicht so, wie erforderlich.
Die DE-CIX hat zwar auch z.B. Netzknoten in Hamburg, München und Düsseldorf, aber die sind sehr deutlich kleiner als der Netzknoten in Frankfurt und können daher den Traffic bei einem Ausfall von Frankfurt gar nicht stemmen.
Der Knoten in Frankfurt ist zwar auf 35 Rechenzentren verteilt, aber mit der Redundanz hapert es trotzdem.
Hat man in der Vergangenheit ja schon öfter erlebt, als es Störungen bei der DE-CIX gab und dann das Internet spürbar gelahmt hat und viele Seiten im Internet nicht erreichbar waren.
Beispielsweise 2018, da war nur 1 Rechenzentrum in Frankfurt ausgefallen:
https://winfuture.de/news,102681.html
Oder 2021.
Zudem haben viele Provider nur eine einzige Anbindung an den DE-CIX und das i.d.R. an den in Frankfurt.
Klar wer dann halt nur an dem einen Rechenzentrum angeschlossen ist, ist dann halt weg. Kann doch nicht die Aufgabe einiger weniger sein die Redundanz für alle vorallem profitorientierte Unternehmen sicherzustellen.
Zur Punkt:
Das waren die Überlegungen als das Internet noch nicht als Goldgrube für Glücksritter etc. angedacht war.
Es gibt genug Infos im Netz die den historischen Kontext beleuchten.
Da wird dann auch klar warum z.B. pop3 und smtp unter Sicherheitsaspekten in der heutigen Zeit eher gruselig sind.
Die Qualität von M$ Software ist einfach so miserabel, daß sich ein Einsatz im geschäftlichen verkehr normalerweise verbieten würde. Leider ist das eigene Know-How vieler IT Abteilungen und noch mehr deren Verantwortlichen auf so minimalem Niveau, daß sie gar nicht mehr wissen, was sie eigentlich tun. Und dann hat es M$ bestens verstanden die Unetrnehmen in eine, zumindest empfundene, Abhänigkeit zu führen. Das hängt insbesondere mit dem fehlenden Know-How der IT Abteilungen zusammmen. Was da teilweise nach einer Cyberatacke auf AD praktiziert wird, hat mit IT und Personal Computer nichts mehr zu tun. Nur mittels Schatten-IT ist dann ein Arbeiten überhaupt möglich. Viele sog. Security Manager ohne eigene Kompetenz, die lediglich dahergelaufende "Experten" konsultieren, sollte man lieber zum Fegen des Hofes einsetzen. Dabei ist ein Leben ohne Microsoft nicht nur möglich, sondern sogar komfortabel und entspannend, aber eben nichts für Klicki-Admins ohne Durchblick.
Ich hoffe, das ist ein weiterer Weckruf für viele, die wie Lemminge in die Cloud stürmen… immer nur das Marketing von all den Vorteilen. Aber wo viel Licht ist… ist immer viel Schatten (außer man ist in leerem Raum, wo außer der Lichtquelle nichts existiert, nur wozu dann das Licht?)
In a Nutshell:
Ich habe für Privatanwender noch nichts gehört/gelesen oder es nicht gepeilt
Der private Nutzer eines outlook.com/hotmail Accounts für Mail/OneNote usw. sollte wohl mal wieder das Passwort gänzlich ändern und kann sonst nur hoffen, richtig? Mal abgesehen davon, dass man wohl als Einzelanwender nicht interessant gewesen sein dürfte, weiß niemand, was passiert ist und wird es wohl nicht erfahren
Bin mal gespannt, wie das Ganze DSGVO-seitig abgewickelt wird. Ist der Data Breach ordentlich gemeldet worden oder wird MS hier zahlen dürfen… wird interessant. Weil dafür soll das Regelwerk da sein. Um die großen Fische und Köpfe zu strafen.
Was mich langsam stutzig macht ist, das so viele Seiten GAR NICHT darüber berichten.
Der Druck auf MS offen zu kommunizieren (ha,ha, OK) sollte viel höher sein.
Inzwischen sieht es für mich wirklich wie so'n Superding aus, dass ordentlich Börsenwert vernichten könnte.
Obwohl aktuell 100-prozentige Beweise fehlen werden stimmen im Darknet laut die
behaupten, es handle sich um eine Hintertür für den amerikanischen Geheimdienst, die schlampig mit dem Schlüssel umgegangen sind.
"Fahrlässige Praktiken": US-Senator kritisiert Microsoft scharf