Die Cybervorfälle der letzten Monate haben die US-Sicherheitsbehörden aufgeschreckt. Nun will sich das US Cyber Safety Review Board (CSRB) den Hack der Microsoft Cloud durch die mutmaßlich chinesische Hackergruppe Storm-0558 genauer ansehen. Der Fall war im Juli 2023 bekannt geworden und hatte wegen der Umstände Wellen geschlagen. Ein US-Senator hatte dann eine genauere Untersuchung des gesamten Sachverhalts und der Rolle Microsofts gefordert.
Anzeige
Das Cyber Safety Review Board (CSRB)
Das Cyber Safety Review Board (CSRB) gehört in den USA zur Homeland Security und ist eine öffentlich-private Initiative, in der führende Vertreter der Regierung und der Industrie zusammenarbeiten. Ziel ist es, das Verständnis für bedeutende Cybersicherheitsvorfälle, einschließlich der Ursachen, Abhilfemaßnahmen und Reaktionen, zu vertiefen. Anschließen soll das Gremium auf der Grundlage dieser Erkenntnisse zu Vorfällen Empfehlungen zur Cybersicherheit geben.
Die erste Überprüfung des CSRB konzentrierte sich auf Schwachstellen, die Ende 2021 in der weit verbreiteten Open-Source-Softwarebibliothek Log4j entdeckt wurden (siehe beispielsweise den Blog-Beitrag Log4J-Schwachstelle: Mittelstand schläft, DHS sieht Problem für Jahre). Die zweite Untersuchung, deren Ergebnisse gerade veröffentlicht wurden, befasste sich mit den Angriffen im Zusammenhang mit Lapsus$. Das ist eine global agierende, auf Erpressung ausgerichteten Hackergruppe (siehe beispielsweise den Blog-Beitrag LAPSUS$ deckt Sicherheitslücken bei Tech-Unternehmen auf). Das CSRB stellte fest, dass Lapsus$ einfache Techniken einsetzt, um branchenübliche Sicherheitstools zu umgehen, die ein Dreh- und Angelpunkt vieler Cybersicherheitsprogramme von Unternehmen sind. Aus diesen Erkenntnissen formulierte das Gremium zehn umsetzbare Empfehlungen, wie Regierungen, Unternehmen und die Zivilgesellschaft sich besser vor Lapsus$ und ähnlichen Gruppen schützen können.
Die Meldung des CSRB
In einer veröffentlichten Meldung kündigte der Minister für Innere Sicherheit, N. Mayorkas, an, dass das Cyber Safety Review Board (CSRB) seine nächste Untersuchung über böswillige Angriffe auf Cloud-Computing-Umgebungen durchführen wird. Die Überprüfung soll sich dabei auf Ansätze konzentrieren, die Regierung, Industrie und Cloud Service Provider (CSPs) anwenden sollten, um das Identitätsmanagement und die Authentifizierung in der Cloud zu stärken.
Das CSRB wird das jüngste Eindringen in Microsoft Exchange Online bewerten und eine umfassendere Überprüfung der Probleme im Zusammenhang mit cloudbasierten Identitäts- und Authentifizierungsinfrastrukturen durchführen, die die entsprechenden Cloud Service Provider (CSPs) und ihre Kunden betreffen.
Anzeige
Das Gremium wird umsetzbare Empfehlungen entwickeln, die die Cybersicherheitspraktiken sowohl für Cloud Computing-Kunden als auch für CSPs selbst verbessern werden. Sobald der Bericht abgeschlossen ist, wird er über Minister Mayorkas und die Direktorin der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), Jen Easterly, an Präsident Joseph R. Biden, Jr. übermittelt.
Der Hintergrund für die Untersuchung
Der Aufhänger für die Untersuchung ist der Sicherheitsvorfall bei Microsoft. Im Juli 2023 musste Microsoft eingestehen, dass mutmaßlich chinesische Hacker der Gruppe Storm-0558 mittels eines gestohlenen privaten MSA-Schlüssels Sicherheitstokens fälschen und dann breit auf Microsoft Cloud-Dienste zugreifen konnten. Ursprünglich hieß es, dass die Angreifer nur Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen erlangten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.
Sicherheitsforscher gehen aber davon aus, dass die Angreifer nicht nur auf Konten bei Exchange Online und Outlook.com zuzugreifen konnte. Vielmehr stand den Angreifern quasi die gesamte Microsoft-Cloud samt Apps offen (siehe GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten). Im Artikel Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1 hatte ich dann berichtet, dass ein US-Senator eine Untersuchung dieses Vorfalls forderte.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3
Anzeige
"Der Hintergrund für die Untersuchung" dürfte darin liegen, dass Microsoft diese riesen Dummheit beginn und einen einzigen Schlüssel zum "Generalschlüssel" zu machen. Für wen, frage ich mich. Wohl kaum für deren Geheimdienste. Die haben Telefonnummern und Beziehungen. Der andere wird sein, dass Microsoft wie ein Kindergartenkind nur dass mit hängen und würgen zugibt, was bereits alle wissen. Kein "Angriff ist die beste Verteidigung" o. s. ä.
Habe das Thema mal unserm externen Datenschutz platziert.
Aussage:
Keine Anfragen aus der Wirtschaft daher wird das Thema auch nicht aktiv verfolgt.
Aber jährlicher Wirtschaftsschaden in Höhe von ca.200 Mrd. Euro beklagen. Irgendwo gibt es zu viel Geld.
Wie konnte es nur sein, daß jemand die Backdoor der NSA gefunden hat. Das geht gar nicht. Spionieren dürfen nämlich nur die USA. Siehe auch Japans Militär :-)
Aber zum Glück bezahlten die KMUs & Co noch dafür, daß ihre Daten direkt in der US-Industrie landen.
Die US-Politik und Verwaltung mahnt auch an, daß Microsoft seine Rolle beim Solarwinds-Massenhack heruntergespielt hat.
Vielleicht ist MS nur noch eine Tarnorganisation der NSA?
Bill Gates Ziel war ja die Weltherrschaft auf allen Computern
Das passt doch gut.
Vielleicht auch meta mit facebook, WhatsApp usw., vielleicht auch Cisco und Intel, vielleicht auch noch andere.
Na ja aber ich denke man kann davon ausgehen das NSA und Co. sehr früh erkannt haben wie wichtig es ist Einfluss auf die Systeme nehmen zu können. Ein Stichwort dazu ist natürlich mal wieder Snowden und ein weiteres Zertifizierungsverfahren in denen versucht wurde geschwächte Algorithmen zu plazieren.
Gruß
Abwickeln, den Laden und fertig….
Wir haben bestimmt noch ehemalige Treuhand Mitarbeiter mit Erfahrung.