[English]Microsofts E-Mail-System (Exchange Online, Outlook.com) wurde durch Hacker der staatlichen Gruppe Midnight Blizzard-Hacker kompromittiert. Die Hacker konnten E-Mails-Mitlesen und es konnte auch Quellcode gestohlen werden. Nun informierte Microsoft verschiedene Kunden, dass wohl auch deren E-Mails mitgelesen werden konnten, sofern die Kunden mit bestimmten Microsoft-Konten korrespondiert haben . Hier die Fortsetzung der unendlichen Geschichte zu Microsoft, deren Cloud und die Sicherheit.
Anzeige
Rückblick: Der Midnight Blizzard-Hack
Im Januar 2024 wurde bekannt, dass Hacker der staatlichen Gruppe Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen und gezielt Nachrichten von Führungskräften oder Sicherheitsexperten mitlesen konnten. Die Hacker waren seit November 2023 im System, wie ich im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert angemerkt hatte. Das ist echt peinlich für den US-Konzern, der ja immer mit der Sicherheit seiner Cloud-Angeboten geworben hat.
Aber die Geschichte geht noch weiter. Ich hatte ja im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert eine Reihe Fragen aufgeworfen. So konnte der Hack angeblich über ein altes Testkonto ohne MFA starten. Ich hatte mich gefragt, wie ein Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto möglich war, und dort keine Multifaktor-Authentifizierung (MFA) verwendet wurde. Und es stellte sich die Frage, wie die Angreifer von diesem Testkonto Zugriff auf Produktsysteme, d.h. Microsofts E-Mail-System, erlangen konnte.
Im Blog-Beitrag Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten hatte ich den Angriffsweg der Hacker nachgezeichnet. Es deutet auf eine Kette an Versäumnissen von Seiten Microsofts hin. Aber Redmond wiegelte ab und meinte "Gefahr erkannt, Gefahr gebannt, die Hacker von Midnight Blizzard sind erfolgreich ausgesperrt". Später musste Microsoft dann eingestehen, dass die Angriffe von Midnight Blizzard weiter gehen – es blieb aber unklar, ob sich die Angreifer weiter in Microsofts Systemen bewegen konnten. Bekannt wurde allerdings, dass die Gruppe Quellcode abziehen konnte (siehe Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen).
Und noch etwas machte mich ganz hibbelig: Ich hatte im Blog-Beitrag Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt von einem Hack bei einem anderen US-Unternehmen berichtet. Aus dem Microsoft Hack war bekannt, dass die Angreifer wohl Informationen über Kunden – möglicherweise auch Zugangsinformationen für Systeme – aus dem E-Mail-Konten Microsofts erbeutet hatten. Mir ging die Frage im Hinterkopf herum, ob der HP-Hack möglicherweise mit dem Microsoft-Hack zusammen hängt.
Anzeige
Microsoft informiert Kunden über Hack
Nun hat mich Blog-Leser Thomas per Mail auf diesen Reuters-Beitrag vom 28. Juni 2024 hingewiesen (danke dafür). Microsoft hat wohl in einer per E-Mail versandten Erklärung, über die Bloomberg zuerst berichtet, eingestanden, dass da möglicherweise noch mehr ist. Es heiß von einem Microsoft-Sprecher:
Diese Woche setzen wir die Benachrichtigung von Kunden fort, die mit Microsoft-Unternehmens-E-Mail-Konten korrespondiert haben, die vom Midnight Blizzard-Bedrohungsakteur exfiltriert wurden.
Mit anderen Worten: Microsoft kann nicht ausschließen, dass Midnight Blizzard Informationen, die Kunden betreffen, aus dem betreffenden Microsoft E-Mail-Konten mitgelesen hat und möglicherweise für Angriffe missbrauchen kann. Laut Reuters teilte Microsoft mit, dass es die kompromittierten E-Mails auch an seine Kunden verschickt habe (so können die Kunden prüfen, ob und wie sie betroffen sind). Microsoft sagte aber nicht, wie viele Kunden betroffen sind oder wie viele E-Mails durch Midnight Blizzard eingesehen wurden. Der Microsoft-Sprecher sagte dazu:
"Dies sind weitere Details für Kunden, die bereits benachrichtigt wurden, und auch neue Benachrichtigungen. Wir verpflichten uns, Informationen mit unseren Kunden zu teilen, während unsere Untersuchung weitergeht."
Irgendwie fällt mir dort nur "Nach dem Spiel ist vor dem Spiel ein". Frage an die Leserschaft: Hat jemand von euch im Unternehmen eine solche Benachrichtigung bekommen?
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Whistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt
Microsoft übt sich in Schadensbegrenzung bei Kongress-Anhörung (13.6.2024): Sicherheit habe Vorrang vor KI
Microsoft Ankündigung einer Secure Future Initiative
Anzeige
Gut, dass schlaue Leute und Unternehmen den Müll nicht nutzen.
An alle anderen: kein Mitleid!
Aber die Schlauen haben in den Unternehmen meist nichts zu entscheiden :-)
Tja Microsoft, diese Geschichte wird dich noch Jahre verfolgen.
Jede "normale" Firma hätte die IT-Struktur nach dem ersten Vorfall neu machen müssen, aber MS macht einfach weiter wie gehabt. Ein typischer Fall von "Too big to fail". Und es gibt immer noch Systemhäuser, die mich überzeugen wollen MS-Cloud mit Exchange Online zu nutzen und unsere Struktur nicht On-Prem zu betreiben. Einfach nur noch zum Kopfschütteln.
"Hat jemand von euch im Unternehmen eine solche Benachrichtigung bekommen?"
Das wird wohl keiner rausposaunen, auch nicht hier.
Warum nicht?
Weil ihr auf euch auf das gefundene Fressen drauf stürzen würdet, wie die Fliegen auf (einsetzen), aber eure "Wir haben es schon immer gewusst"-Kassandra-Rufe bringen halt niemanden weiter.
Sehe ich zwar differenzierter – wenn mir jemand "wir sind benachrichtigt worden, aber bitte vertraulich halten" per Mail mitgeteilt hätte, wäre das vertraulich geblieben, hätte aber mein Bild abgerundet.