[English]Bei Microsoft hat Sicherheit seit Jahren Priorität, wissen wir alle. Und jedes Windows ist das beste und sicherste Windows aller Zeiten. Whistleblower und Ex-Mitarbeiter Andrew Harris sagt, dass Microsoft jahrelang seine Warnungen vor einem Azure Active Directory-Fehler ignoriert habe. Im Jahr 2020 verließ Harris das Unternehmen, und im Jahr 2020 kam es wohl über diese Schwachstelle zum SolarWinds-Hack. Bei Microsoft gehen Features und Gimmicks halt über Sicherheit. Es sind schwere Anschuldigungen, die aber plausibel klingen.
Anzeige
Ein Cybervorfall 2016
Der Ex-Mitarbeiter Andrew Harris war von Microsoft wegen seiner außergewöhnlichen Fähigkeit, Hacker aus den sensibelsten Computernetzwerken der USA herauszuhalten, eingestellt worden. Vor seiner Tätigkeit bei Microsoft war Harris für das US-Verteidigungsministerium tätig. Im Jahr 2016 es gab einen rätselhaften Vorfall, bei dem Eindringlinge irgendwie in ein großes amerikanisches Technologieunternehmen eingedrungen waren. Harris untersucht das Ganze und machte eine beunruhigende Entdeckung.
Die Angreifer waren in Microsofts Cloud eingedrungen und hatten dabei kaum Spuren hinterlassen – es war also etwas im Busch. Harris fokussierte sich bei seinen Untersuchungen des Hack auf die Anwendung zur Anmeldung an der Cloud. Dort entdeckte er eine Schwachstelle, die es Angreifern ermöglichte, sich als legitime Benutzer auszugeben und auf alle Daten des jeweiligen Benutzerkontos zuzugreifen. Ein Sicherheitsalbtraum, jeder, der die Software nutzte, war gefährdet. Das sei unabhängig davon gewesen, ob das Opfer Microsoft oder einen anderen Cloud-Anbieter wie Amazon nutzte, hieß es.
Warnung vor Schwachstelle
Harris erkannt das Problem und machte sich Sorgen um die Sicherheit der US-Regierung und des Landes. Daher wies er seine Kollegen bei Microsoft auf das Problem hin. Denn die Anwendung, mit der sich Millionen Nutzer anmelden, wies eine Schwachstelle (meiner Lesart nach im Azure Active Directory – heute als Entra ID vermarket) auf.
Anzeige
Propublica, die das Ganze im Blog-Beitrag Microsoft Chose Profit Over Security and Left U.S. Government Vulnerable to Russian Hack, Whistleblower Says öffentlich machte, schreibt, dass die Kollegen von Harris bei Microsoft das "Problem " das ein wenig anders sahen. Die US-Regierung war gerade dabei, massiv in das Cloud Computing einzusteigen. Microsoft befürchtet, dass das Eingeständnis dieser Sicherheitslücke die Chancen des Unternehmens für einen Deal gefährden könnte. So wurde es Harris jedenfalls von einem Microsoft-Produktmanager gesagt.
Harris wurden die finanziellen Folgen eines geplatzten Deals vor Augen geführt – der Verlust eine mehrere Milliarden schweren Geschäfts drohte, und es wurde thematisiert, dass Microsoft beim Ratten-Rennen um die Cloud-Marktanteile zurückzufallen drohte. Die Schwachstelle wurde also nicht publik, und Harris versuchte laut eigener Aussage in den Folgejahren vergeblich, Microsoft zum Beheben der Schwachstelle zu bewegen. Die Microsoft-Verantwortlichen wiesen die Warnungen stets zurück und sagten, man würde an einer langfristigen Alternative arbeiten.
Der Microsoft Cloud-Dienste blieb in der Zwischenzeit weltweit anfällig für Angriffe. Harris war sich sicher, dass irgendwann jemand herausfinden würde, wie man die Schwachstelle ausnutzen könnte. Er hatte zwar eine temporäre Lösung zur Abschwächung der Schwachstelle gefunden. Aber dafür hätten die Kunden das Single-Sign-On (SSO) abschalten müssen. Mit SSO kann der Nutzer nur mit einer einzigen Anmeldung auf fast alle Programme zuzugreifen, die am Arbeitsplatz verwendet werden.
Er beeilte sich, Propublica, einige der sensibelsten Kunden des Unternehmens Microsoft vor der Bedrohung zu warnen. Er überwachte beispielsweise persönlich die Behebung der Schwachstelle beim New Yorker Police Department. Aus Frustration über die Untätigkeit Microsofts verließ er das Unternehmen im August 2020.
SolarWinds-Hack in 2020 nutzt Schwachstelle
Im Jahr 2020 kam es dann zum berüchtigten SolarWinds-Hack über die Golden SAML-Schwachstelle. Das ist einer Angriffstechnik, die das SAML-Authentifizierungsprotokoll ausnutzt und die 2020 von der Hackergruppe Nobelium gegen Solarwinds eingesetzt wurde. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat bösartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identitätsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identitätssystem wie Entra ID umzustellen.
Laut dem Propublica-Artikel war aber die von Harris entdeckte Schwachstelle (also Golden SAML) die Ursache, dass die Hackergruppe Nobelium Solarwinds hacken konnte. Im Artikel schreibt Propublica, dass die Aussagen von Harris durch Interviews mit ehemaligen Kollegen und Mitarbeitern sowie durch Beiträge in den sozialen Medien gestützt werde.
Als der SolarWinds-Lieferkettenangriff bekannt wurde, stellte Microsoft klar, dass das Unternehmen keine Schuld träfe. Brad Smith, Präsident bei Microsoft, versicherte dem Kongress bei einer Anhörung im Jahr 2021, dass es "keine Schwachstelle in einem Microsoft-Produkt oder -Dienst gab, die in SolarWinds ausgenutzt wurde", schreibt Propublica. Und es kam der Hinweis, dass die Microsoft-Kunden mehr hätten tun können, um sich zu schützen.
Dem widerspricht Harris nun, denn die Kunden hatten nie die Möglichkeit besessen, sich besser zum schützen (es sei denn, sie verzichten auf Microsoft-Produkte). Die Ausführungen von Harris werfen natürlich das bisher in der Öffentlichkeit herrschende Bild des SolarWinds-Hacks über den Haufen. Harris arbeitet inzwischen für CrowdStrike. Das ist ein Cybersicherheitsunternehmen, das mit Microsoft konkurriert.
Harris sagte: "Die Entscheidungen basieren nicht darauf, was das Beste für Microsofts Kunden ist, sondern darauf, was das Beste für Microsoft ist." ProPublica schreibt, dass Microsoft ein Interview mit Smith oder anderen hochrangigen Managern zum Thema ablehnte. Ein Sprecher Microsofts antwortete ProPublica: "Der Schutz der Kunden hat für uns immer höchste Priorität. Unser Sicherheitsteam nimmt alle Sicherheitsprobleme ernst und prüft jeden Fall mit der gebotenen Sorgfalt, indem es eine gründliche manuelle Bewertung vornimmt und sich mit Technik- und Sicherheitspartnern abstimmt. Unsere Bewertung dieses Problems wurde mehrfach überprüft und entsprach dem Branchenkonsens." Von Microsoft wurden aber andererseits die Ergebnisse von ProPublica nicht bestritten.
Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus
SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten
SolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber
Microsoft Insides zum SolarWinds Orion SunBurst-Hack
SolarWinds-Angreifer nehmen Microsoft-Partner ins Visier – fehlende Cyber-Sicherheit bemängelt
SolarWinds-Kunden sollten Web Help Desk entfernen
SolarWinds Hack in 2020: Das US-Justizministerium wusste 6 Monate vorher Bescheid
Neue Variante der Solarwinds-Angriffstechnik von 2020 entdeckt
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Anzeige
Im Westen nichts Neues.
Die Frage ist wer MS Produkte einsetzt nicht ob er Opfer einer Attacke wird sondern nur wann. Es gibt gefühlt keine Firma auf der Welt die kein Windows einsetzt.
MS wird für so etwas auch nicht hart genug bestraft, so lange die Strafe nicht höher ist als der Gewinn, wird sich nichts ändern.
Das sehe ich fast genauso. Das Einzige was ich anders sehe ist die Strafe. Ja sie muss empfindlich sein, sehr sogar. Doch glaube ich, wenngleich hohe Geldstrafen auch Aua machen, werden sie gar nichts bringen, Geld kann man sich jederzeit wieder beschaffen, Lebenszeit hingegen nicht, daher muss es empfindliche Haftstrafen ohne Bewährung für diese Entscheidungsträger verhängen, anders wird das nichts.
I love it when the day starts with sarcastic humor.
"Bei Microsoft hat Sicherheit seit Jahren Priorität, wissen wir alle. Und jedes Windows ist das beste und sicherste Windows aller Zeiten. "
Erinnert mich an Waschmittelwerbung: Unser neues XYZ wäscht jetzt noch weißer. So weiß war Ihre Wäsche noch nie!
Mein persönlicher Windows-Favorit war Win 2000. Nüchtern, aufgeräumt und flott.
"Jetzt mit dem patentierten TAED-System!"
Falls sich noch wer erinnert – weiß aber nicht mehr, ob's OMO oder Persil war. Erinnere mich nur noch an den Stempel "TAED", der mit sattem Wumms auf das Weiß des TV-Werbungs-Hintergrunds niedersauste. Und keiner wusste (oder fragte) je, was die Abkürzung denn bedeute.
"Jetzt mit dem patentierten MSXS-System!"
TAED ist ein biologisch leicht abbaubarer Bleichmittel-Aktivator für Temperaturen unter 60°C. Damit wird die Wäsche weißer als vorher, auch bei niedrigeren Temperaturen – also war die Werbung schon korrekt. Später kamen noch optische ("UV"-)Aufheller dazu – spätestens damit wurde es dann tatsächlich "weißer als weiß", weil die Wellenlängenzusammensetzung verändert wurde.
Das verrückte ist ja gerade, dass dieses Beispiel, das viele für frei erfundene Nonsens-Werbung gehalten haben, Substanz hat – während andere Werbung, die man evtl. für viel plausibler hält (z.B. die bekannten Versprechungen zu Cloud, KI, Kryptogeld oder diversen "Sicherheitsprodukten" im IT-Bereich) tatsächlich substanzloser Nonsens sind, der von der Marketing-Abteilung völlig dreist erfunden und erlogen wurde…
Ja, 2000 war schon recht brauchbar. 2k und W7 mit 2k-Skin ("Windows Classic").
Abgesehen von der Tatsache, dass bei 2K alle (bis zu 4 [?]) bei der Ersteinrichtung angelegten User-Accounts "power user", auf deutsch "Hauptbenutzer" waren und damit fast so viele Rechte wie der "Administrator" hatten. Aber es richtete sich eh nicht an den Privatanwender, und der Sysadmin wusste hoffentlich, was er da tat. Und viel Software damals lief nicht mit eingeschränkten Rechten – nicht mal das bei Office 2K mitgelieferte Organigramm-Progrämmchen.
Früher war alls besser – auch die Zukunft.
(von Karl Valentin)
Da ist etwas wahres dran, an dem Spruch vom Karl. Im Ernst – ich habe als Autor Windows 2000 kennen gelernt. Es war klar, hatte für mich aber einige "Kanten". Hab dann Vista und Windows 7 als das bessere System lieben gelernt, weil ich endlich (dank UAC) mit Standardkonten arbeiten konnte.
Es hätte mit den Windows 7-Nachfolgern so weiter gehen können, wenn Microsoft nicht auf die Schnapsidee verfallen wäre, dass alles Touch können soll und mit der Kacheloberfläche von Windows 8.x daherkam.
Mit Windows 10 hat man diesen Fehler ja erkannt und korrigiert, aber den Fehler gemacht, eine eierlegende Wollmilch-Sau entwickeln zu müssen. Geht bei anderer Software ähnlich – und ich werde das Gefühl nicht los, dass die Komplexität dessen, was da inzwischen auf dem Tisch liegt, sowohl die Entwickler als auch die Administratoren, aber auch die Anwender, deutlich überfordert.
Von daher: Früher, unter W2K, war die Zukunft Windows Vista und Windows 7 – würde ich als "besser" beim Blick nach vorne ansehen, als vom Sitz "Windows 7" oder "Windows 10". Mag aber jeder anders beurteilen.
Sehr treffend formuliert von Günter – „… und ich werde das Gefühl nicht los, dass die Komplexität dessen, was da inzwischen auf dem Tisch liegt, sowohl die Entwickler als auch die Administratoren, aber auch die Anwender, deutlich überfordert."
Ja, weniger wäre oft mehr. Langsamer manchmal schneller. In Zeiten von akutem Fachkräftemangel ist es schon sehr kühn, das Tempo der Innovationen ständig zu erhöhen. Kein Wunder fliegt einem das eine oder andere „Teil" mal um die Ohren. Ob die IT-Branche oder die „Software-Welt" aus der Vergangenheit und Gegenwart lernt, werden wir sehen.
Solange es aber keine besseren Regelkreise gibt, welche die Kosten die dem Endanwender durch „zu komplexe" oder schlecht getestete Software entstehen, ausreichend an die Quelle des „Übels" zurück transportieren, werden wir auch in Zukunft wohl eher die Gegenwart erleben.
Zu bedenken in diesem Zusammenhang: Marktmacht hebelt das Gesetz von Angebot und Nachfrage teilweise aus. Die Nachfrage wird nicht einfach kleiner, nur weil wir mit der Komplexität nicht mehr zurecht kommen. Viele Projekte welche Alternativen zu Windows und Office im grossen Stil verbreiten wollten sind gescheitert.
Zurück zur Zukunft – egal ob aus der Vergangenheit oder Gegenwart betrachtet – es ist alles möglich, sofern man es wirklich verändern möchte!
Die Vorwürfe wurden nicht von Microsoft bestritten und mit einem "Unsere Bewertung dieses Problems wurde mehrfach überprüft und entsprach dem Branchenkonsens." kommentiert. Wenn das "Branchenkonsens" ist ist Microsoft offensichtlich nicht der einzige Hersteller, der Profit über Sicherheit stellt. Wundert mich nicht.
"Branchenkonsens" scheint da eben zu sein dass der Gewinn stimmt und jedes Jahr erhöht wird. Das nennt sich dann eben ewiges Wachstum also die Grundidee des Kapitalismus. Meiner Meinung nach ist das auch der Grundlegende Unterschied zwischen dem Windows-Ökosystem und Linux.
Abgeschlossener Programmcode in Windows und den Microsoft-Programmen enthält Fehler die erst auffallen wenn sie aktiv ausgenutzt werden aber da ist es zu spät. Opensource Betriebssysteme und Programme enthalten auch Fehler aber der Programmcode ist öffentlich und somit können diese Fehler schnell behoben werden ehe sie ausgenutzt werden. Da möchte halt keiner nur verdienen es geht eben um sichere Software.
"Wenn das "Branchenkonsens" ist ist Microsoft offensichtlich nicht der einzige Hersteller, der Profit über Sicherheit stellt. Wundert mich nicht."
Das ist kein Problem das speziell mit einzelnen Branchen oder der Größe von Firmen zu tun hat. Sondern ein Generelles Problem, das dem Kapitalismus zu tiefst inne wohnt.
Schert sich denn die Chemieindustrie, Pharmaindustrie oder gerade was Software betrifft die Autoindustrie um die Sicherheit ihrer Produkte/Kunden? Erwiesenermaßen NICHT! Statt dessen schicken sie alle tausende Lobbyisten in die Hauptstädte, oder gleich direkt ins Parlament. Oder wer glaubt ernsthaft, das Friedrich Merz nur aus eigenem Interesse Kanzler werden will? Da muss man als Wähler schon sehr naiv sein!
Die "Werte", welche von der westlichen "Werte"-Gemeinschaft gemeinsam vertreten, gefeiert und verteidigt werden, sind letzten endes ausschließlich Aktien-Werte!! Monopole, Kartelle und Profit Profit Profit … das System ist in sich eine mafiöse Struktur. Kaum ein Stück besser, wie jede "hübsch gepflegte" Diktatur auf dieser Welt. Denn auch der Kapitalismus "produziert" des Gewinnstrebens wegen, abertausendfach Tote, die nicht sein müssten, wenn Produktsicherheit im Vordergrund stünde. Mancher "Fortschritt" ließe dann vielleicht etwas länger auf sich warten, aber wäre das schlimmer, als diese globale Umwelt- und Klima-Katastrophe? Ja, die Öl-Industrie wusste seit den 50er, 60er Jahren bereits das ihr Geschäftsmodell die Bewohnbarkeit unseres Planeten ruinieren würde … der Profit war und ist wichtiger … der Kapitalismus mit seinen Pseudodemokratien ist den HERRSCHAFTEN wichtiger, als echte "Werte" fair und ehrlich zu vertreten. Alles nur Luft und Schaum, Blendwerk und Verarschung. Augen auf!
"Der Schutz der Kunden hat für uns immer höchste Priorität."
Eben nicht!
Wenn das tatsächlich der Fall gewesen wäre, hätte Microsoft auf Harris gehört und die Schwachstelle geschlossen.
Und dabei spielt es keine Rolle, "was in der Brachnche Konsens" ist.
Für mich ist das Thema noch so klar wie Kloßbrühe… Microsoft und Cloud im Jahr 2016 passt nicht zusammen, damals gab es noch kein Azure/EntraID. Was aber damals schon möglich war, war ein komplettes AD auf virtuellen Servern "in der Cloud" zu betreiben, z.B. bei AWS auf VMware-Strukturen, auch wenn das damals alles noch auf wackligen Füßen stand, und dann andere Strukturen an dieses AD anzubinden. Oder "etwas" in der Cloud zu betreiben und an ein onprem AD anzubinden. In beiden Fällen hat man dann einen "ADFS" Server im Einsatz, der die Verbindung von "extern" ins AD absichert – den man idealerweise per Firewall nur von da erreichbar macht, wo er gebraucht wird… Ich denke daher, dass die Lücke an diesem Frontend zu suchen wäre, ADFS und Firewallabsicherung (da wäre dann der Kunde schuld, wenn der ADFS von überall erreichbar ist).
Beim Suchen nach Golden SAML bin ich dann gleich auf diesen Artikel gestoßen.
https://www.semperis.com/de/blog/meet-silver-saml/
Daraus geht hervor, dass der Solarwinds-Hack erstmal ein Angriff auf die Solarwinds-Lieferkette war, der Golden SAML Angriff auf ADFS war dann erst der zweite Schritt, nachdem "sie" überall in Programmen von Solarwinds versteckt ala (trojanisches Pferd) "drin"waren.
Was ich auch noch nicht herausfinden konnte, ist ob wenigstens jetzt diese ADFS-Lücke schon geschlossen ist.
Ganz ehrlich es ist doch scheiss egal wo nun genau das Problem lag. Microsoft wusste davon und hat entschieden, dass der Deal mit der Regierung wichtiger ist als die generelle Sicherheit der Produkte. Und selbst nach dem Deal wurde dieses Problem über Jahre hinweg nicht gefixt. Ganz einfach, weil es eben Wurscht ist. Solang die Kundschaft brav alles in die Cloud legt und brav einzahlt wird sich nichts ändern.
Wer dachte, dass es nach Ballmer nicht schlimmer werden könnte, der hatte weit gefehlt. Der Inder ist noch und Dekaden schlimmer.
Das aktuelle ADFS enthält ja keine Lücke, in dem Sinne, dass etwas "falsch programmiert" wurde, sondern man kann den "private key", den ADFS zum Signen von SAML benutzt, auslesen und dann als Hacker "mißbrauchen". Das Auslesen geht nur, wenn man Zugang zum ADFS-Account hat, der vom Produkt ADFS verwendet wird.
Diesen Zugang gewinnt man zuvor, in dem man das on-premises-Network – wie auch immer – komprimittiert. Wenn man diesen private key zum Signen hat, stehen einem alle Türen in der MS-Cloud offen.
Die Alternativ-Lösung – ohne ADFS – hat MS 2022 vorgestellt:
https://redmondmag.com/articles/2022/02/14/azure-active-directory-certificate-based-authentication-preview.aspx
Folglich ist jeder ADFS-Nutzer – bei Vorliegen obiger Voraussetzungen – weiterhin gefährdet.
Glaube, der Trend wird in die Entschlackung von Windows mit allen Mitteln gehen. Wenn nicht durch MS, dann eben mit Hilfe von Schlangenöl. Je weniger im System, abschalten, was nicht gebraucht wird, macht es wahrscheinlich durch folende Einfachheit sicherer.
Aber es ist auch richtig, das die Blog Leser hier auf einem anderen Niveau sind, als der Otto-Normal-User und wahrscheinlich auch auf Linux und IOS im Wechsel setzten.