[English]Kürzlich wurde bekannt, dass Hacker der staatlichen Gruppe Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen und gezielt Nachrichten von Führungskräften oder Sicherheitsexperten mitlesen konnten. Die Hacker waren seit Monaten im System. Nun hat Microsoft offen gelegt, wie es zu diesem Hack kommen konnte. Die Kurzfassung: Das, was man Dritten als "gute Sicherheitspraxis" verkauft hat man selbst wohl nicht angewendet.
Anzeige
Der Midnight Blizzard-Hack
Ich hatte zum 20. Januar 2024 im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert über den Sachverhalt berichtet. Microsoft ist durch die staatliche russische Hackergruppe Midnight Blizzard, auch als Nobelium bekannt, erfolgreich angegriffen worden. Aufgefallen ist das am 12. Januar 2024, die Hacker waren aber wohl seit November 2023 unerkannt in den Systemen unterwegs und konnten dort E-Mails einsehen und abziehen. Der nächste große Hack nach dem Angriff der chinesischen Gruppe Storm-0558 von Mai bis Juni 2023.
Microsoft hat den Hack zum 19. Januar 2024 im Beitrag Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard öffentlich gemacht. Der Angreifer konnte ab Ende November 2023 über einen Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto übernehmen und von dort auf das gesamte E-Mail-System Microsofts zugreifen. Beim Angriff wurden dann Mails von Führungskräften und aus der Rechts- und Sicherheitsabteilung über "Midnight Blizzard" gesucht und abgezogen.
Microsoft legt weitere Details offen
Ich hatte ja im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert eine Reihe Fragen aufgeworfen. Microsoft konnte diese Angriffe in den Protokolldaten zu identifizieren, indem es die Exchange Web Services (EWS)-Aktivitäten überprüfte und die Audit-Protokollierungsfunktionen auswertete und in Verbindung mit umfassenden Wissen über Midnight Blizzard kombinierte. Bereits zum 25. Januar 2024 hat Microsoft den Folgeartikel Midnight Blizzard: Guidance for responders on nation-state attack, basierend auf den neuen Erkenntnissen, mit Hinweisen, was man besser machen könnte, veröffentlicht.
Ich hatte mich gefragt, wie ein Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto möglich war, und dort keine Multifaktor-Authentifizierung (MFA) verwendet wurde. Im Beitrag bestätigte Microsoft, dass kein MFA für das Testkonto aktiviert wurde, etwas, was Redmond seinen Kunden wieder und wieder nahelegt.
Anzeige
Laut Microsoft hatte dieses Testkonto Zugriff auf eine OAuth-Anwendung, die einen erweitertem Zugriff auf die Unternehmensumgebung von Microsoft gestattete. Konkret nutzte Midnight Blizzard seinen ersten Zugang, um eine ältere OAuth-Testanwendung, die über einen erweiterten Zugriff auf die Microsoft-Unternehmensumgebung verfügte, zu identifizieren und zu kompromittieren. Die Angreifer haben also die Sachverhalte verstanden, während diese den Microsoft-Leuten wohl nicht bewusst waren.
Dies erklärt, warum die Angreifer vom Testkonto auf das Office 365-E-Mail-System von Microsoft Zugriff erhalten konnten. Dieser erweiterte Zugriff ermöglichte es den Bedrohungsakteuren, weitere OAuth-Anwendungen zu erstellen, um sich Zugang zu anderen Unternehmens-Mailboxen zu verschaffen. Das erinnert mich an den Storm-0558 Hack, wo chinesische Angreifer sich über einen erbeuteten Schlüssel selbst authentifizieren konnten.
Anschließend erstellen die Angreifer ein neues Benutzerkonto, um den erzeugten OAuth-Anwendungen die Zustimmung zur Zugriff auf Konten in der Microsoft-Unternehmensumgebung zu erteilen. Der Bedrohungsakteur verwendete dann die alte Test-OAuth-Anwendung, um den OAuth-Anwendungen die Office 365 Exchange Online full_access_as_app-Rolle zu gewähren. Dadurch erhielten die Angreifer den Zugriff auf Postfächer und konnten beliebige Mails von Microsoft einsehen.
Microsoft konnte mit diesem Erkenntnissen ähnliche Angriffe von Midnight Blizzard auf andere Organisationen erkennen. Dazu heißt es: "Anhand der Informationen, die Microsoft bei der Untersuchung von Midnight Blizzard gewonnen hat, hat Microsoft Threat Intelligence festgestellt, dass derselbe Akteur auch andere Organisationen ins Visier genommen hat. Im Rahmen unserer üblichen Benachrichtigungsprozesse haben wir damit begonnen, diese betroffenen Organisationen zu benachrichtigen." Hier fällt mir sofort mein Artikel Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt ein, die auch durch Midnight Blizzard gehackt wurden.
Im Beitrag Midnight Blizzard: Guidance for responders on nation-state attack gibt Microsoft dann seinen Kunden Hinweise, wie man sich vor solchen Hacks schützen kann. Bleibt zu hoffen, dass diese Maßnahmen nicht nur von Kunden Microsofts, sondern auch intern in Redmond angewandt werden. Denn die Kette der Hacks in diesem Umfeld wird langsam irgendwie peinlich.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2
Anzeige
Einen lesenswerten Rant zu dem Thema gibt es auch hier:
(Achtung LinkedIn)
https://www.linkedin.com/pulse/microsofts-dangerous-addiction-security-revenue-alex-stamos-1ukzc
Bißchen kompliziert, aber lesenswert:
https://blog.fefe.de/?ts=9b4d72e1
Ein echter Fefe eben. Empfehle
Ibuprofen…
Replace("angewandet","angewandt") ;) SCNR
Ich kontere mit
sed 's*et*t*'<<<"angewandet"
"Das, was man Dritten als "gute Sicherheitspraxis" verkauft, hat man selbst wohl nicht angewendet."
…der Schuster hat immer die schlechtesten Schuhe…
Mich wundert immer noch der Elefant im Raum.
Zur Zeit muss "der Russe" ja mal wieder mit "dem Chinesen" für alles herhalten. Wetter schlecht… usw.
Also meine Frage wie konnte Microsoft den Angriff attributieren? Der Zugriff kam aus Russland lasse ich da nicht gelten. Proxys findet man überall.
Hat die Hackergruppe selbst den Zugriff eingeräumt? Oder weiß jemand mehr?
Wir bewegen uns im Bereich der Spekulationen – aber: Wenn ich feststelle, dass in Postfächern von Sicherheitsleuten meiner Firma von einem Angreifer gezielt nach "Midnight Blizzard" gesucht wird, und auch sonst einige forensische Spuren auf einen bestimmten Angreifer hinweisen, sind die Indizien wohl stark, dass da nicht zufällig ein Script-Kiddy danach gesucht hat, was wohl "Midnight Blizzard" sein könnte. Mag mich aber täuschen.
Was mich viel mehr wundert, ist der andere Elefant im Raum: Es findet sich ein erfolgreicher Angriff, es wird beschrieben, was schief gelaufen ist. Und es findet sich mit Sicherheit ein Leser, der sich darüber echauffiert, dass nicht nachgewiesen wurde, dass "diese oder jene genannte Gruppe" wirklich und mit 200% Sicherheit der Angreifer war – oder aus diesem und jenem Land stammt.
Nur mal ins Unreine geschrieben: Was nutzt es mir als Administrator, wenn ich weiß oder nicht weiß, dass die Gruppe ABC beim Opfer XYZ eingedrungen ist. Für mich als Leser wäre es doch viel relevanter, zu lesen, warum ein Angreifer mit der Bezeichnung APT4711 eindringen konnte – das kann ich dann in meiner Umgebung abprüfen, ob Maßnahmen erforderlich sind. Von daher finde ich solche Diskussionen "der Russe", der "Chinese" in diesem Kontext schlicht ermüdend – es wird versucht, einen Nebenkriegsschauplatz in der Diskussion aufzumachen, während das Beef unbeachtet liegen bleibt. Der Thread Actor lässt sich von den Forensikern wohl relativ sicher an Hand bestimmter Muster identifizieren – und dass dann eine Attributierung "Russland, China, Nordkorea etc." einer Gruppe erfolgt, ist auch an Hand mehrerer vergleichbarer Angriffe aus diversen Spuren nachvollziehbar.