Microsofts Midnight Blizzard Cloud-Hack und die Schatten-IT

Heute noch eine "vogelwilde Story", wie es bei Microsoft in der Azure Cloud zugegangen ist, als diese von Midnight Blizzard gehackt wurde. Ich habe die Grundzüge zwar irgendwie im Blog in diversen Beiträgen nachgezeichnet. Aber was für ein Desaster und welche Schatten-IT bei Microsoft hinter den Kulissen lauerte ist mir erst die Tage  wieder bewusst geworden.

Der Midnight Blizzards Microsoft Cloud-Hack

Microsofts E-Mail-System (Exchange Online, Outlook.com) wurde durch Hacker der staatlichen Gruppe Midnight Blizzard-Hacker kompromittiert. Das wurde im Januar 2024 bekannt. Die Hacker der staatlichen Gruppe Midnight Blizzard-Hacker durchforsteten gezielt Nachrichten von Führungskräften oder Sicherheitsexperten in Microsofts E-Mail-System nach bestimmten Schlüsselwörtern.

Die Hacker waren seit November 2023 im System, wie ich im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert angemerkt hatte. Eindringen konnten die Angreifer ab Ende November 2023 über einen Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto. Dieses ließ sich übernehmen, und von dort breiteten die Hacker sich dann auf das gesamte E-Mail-System Microsofts aus, und griffen auf beliebige Postfächer zu.

Dann gab es einige Monate vorher einen erfolgreichen Angriff der chinesischen Storm-0558-Cybergruppe auf Microsofts Cloud und die Online-Konten von Outlook.com. In diesem Kontext hatte ich im Beitrag Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff berichtet, dass Redmond im Nachgang begonnen habe, inaktive Azure-Cloud-Tenants zu bereinigen und eine umfassende Bestandsaufnahme der Cloud- und Netzwerkressourcen durchzuführen. Laut einer Meldung Microsofts hat das Unternehmen seit September 2024 mehr als eine halbe Million (550.000) inaktiver Tenants in seiner Cloud-Umgebung entfernt. Das soll die Gesamtzahl entfernter Tenants, seit der Einführung der Secure Future Initiative (SFI), auf 6,3 Millionen Tenants erhöht haben.

Die Schatten IT in Microsofts Cloud

Kürzlich bin bereits im Mai 2026 auf X auf diverse Tweets von Merill Fernando gestoßen, die sofort bei mir Aufmerksamkeit erregten. Merill Fernando ist ein ehemaliger Microsoft Produktmanager, der ein Gespräch mit dem Microsoft Angestellten Jeff Stairman führte. Jeff Staiman ist seit 31 Jahren bei Microsoft tätig und für Entra zuständig.

MS-Cloud Midnight Blizzard

Im Screenshot sieht man bereits, was abgeht. Als Microsoft von Midnight Blizzard überrascht wurde und dann in seiner Cloud mal genauer geschaut hat, gab es eine "Entdeckung der besonderen Art". Die hatten 7 Millionen interne Tenants, die irgendwann und irgendwie benutzt wurden. Davon hatte niemand eine Ahnung, es war ein riesiges Chaos, verursacht durch die Schatten-IT.

Merrill Fernando sagte zu seinem Gesprächspartner: "Redmond saß [damals], ohne es zu wissen, auf 7 Millionen internen Tenants. Ein totales Chaos in Sachen Schatten-IT." und fragte "Wenn Microsoft nicht einmal seine eigenen Mandanten im Blick hat – warum glauben Sie dann, dass Ihr Ökosystem sicher ist?"

Jeff Staiman gestand ein, dass der damalige Sicherheitsalptraum Microsoft dazu zwang,  seine Entra Tenant Governance komplett neu aufzubauen. Die meisten Entra-Admins denken: "Wir haben nur zwei oder drei Produktions-Tenants, da ist alles in Ordnung." souffliert Merrill Fernando und ergänzt, dass dies falsch sei. Benutzer, Entwickler und Partner erstellen wahrscheinlich direkt unter der Nase der Entra-Admins eigene "Shadow-Tenants", die unerwünscht sind. Ein riesiger blinder Fleck in Sachen Sicherheit, den die meisten Teams nicht einmal überwachen.

Um diesem Chaos ein Ende zu setzen, setzt Microsoft die M365-DSC-Konzepte über eine neue Konfigurations-API in native Technologie um. Merrill Fernando hat das Gespräch im  Mai 2026 im Beitrag The New Control Plane for Microsoft Entra Tenant Governance zusammen gefasst und erklärt, welche Konsequenzen und Änderungen sich aus dem Midnight Blizzard-Vorfall ergeben.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln

Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Microsoft: Neues vom Midnight Blizzard-Hack – auch Kunden möglicherweise betroffen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff
Midnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet
Microsofts Cloud wird von Experten als "ein Haufen Mist" eingestuft aber abgenickt
Cyber-Guru: Microsoft betrachtet Sicherheit als Ärgernis
Von Blaster bis BlueHammer: Wiederholt sich die Geschichte bei Microsoft?

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

5 Kommentare zu Microsofts Midnight Blizzard Cloud-Hack und die Schatten-IT

  1. aus dem Rhein-Main Gebiet sagt:

    Und Microsoft erzählt was von Sicherheitsoffensive und bekommt die eigene Schatten IT nicht in den Griff?
    Sind dort nur diletantische Trottel am Werk?
    Beherrschen die noch nicht Mal die Grundlagen der EDV?

  2. MaxM sagt:

    Technisch müssen wir IMHO klarer formulieren:

    Es sind nicht die 7 Millionen Tenants (das könnten auch 70 Billionen sein).

    Das Problem entsteht nur dann (Zitat aus dem verlinkten Beitrag):
    "how many other tenants are connected (!!) to your organization"
    (Ausrufungszeichen durch mich ergänzt)

    Die Verbindung zweier Tenants war auch bei Midnight-Blizzard die Ursache. Und diese Verbindung über Multitenant application ist mit entsprechenden administrativen Rechten vor der Attacke durch legitime MS-Admins eingerichtet worden.

    Zitat aus dem MS-Learn-Artikel:
    "The multitenant application discovery signal identifies tenants with registered multitenant applications that have permissions in your tenant, or tenants to which your registered multitenant applications have access."

    Und leider, leider kostet das Governance-Feature wieder Extra-Lizenzgebühren :-(

    • peter0815 sagt:

      Das macht nur keinen Unterschied solange MSFT weder seine internen Actor Tokens noch seine Schlüssel mit denen es seine OAUTH Token signiert wirklich in den Griff bekommt:

      http*://practical365.com/death-by-token-understanding-cve-2025-55241/

      Und hier ging es um die Verwaltung der Authentifizierungsdaten der User nach Tenants selbst.

      Nicht einmal da wird offensichtlich wirksam nach Tenants unterschieden.

      Erst recht nicht überall sonst in der großen blöden Azure Cloud.

      Mehr als ein kleiner Flicken der sehr speziell genau den Angriffspunkt des Dänen damals zukleisterte dürfte seitdem nicht passiert sein.

      Das ständige "da hätten sie halt vorher ein anderes Feature zusätzlich buchen müssen" sind nur sauteure Nebelkerzen.

  3. Martin B sagt:

    einfach bei Berechtigungen in Azure für App Registrierung immer "jajajaja" klicken und Admin consent bestätigen.

    Es gab mal ein Azure Migrationstool, das arbeitete immer mit dem gleichen Zertifikat…fand ich schon cool!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.