{"id":263628,"date":"2022-03-23T02:02:24","date_gmt":"2022-03-23T01:02:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263628"},"modified":"2022-04-01T03:38:23","modified_gmt":"2022-04-01T01:38:23","slug":"lapsus-hacks-stellungnahmen-von-okta-und-microsoft","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/23\/lapsus-hacks-stellungnahmen-von-okta-und-microsoft\/","title":{"rendered":"Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Gestern wurden gleich zwei Hacks von Big Playern der IT-Szene durch die Lapsus$-Gang bekannt. Die Gruppe reklamierte einen Hack des Authentifizierungsdiensts OKTA, was m\u00f6glicherweise Kunden betrifft. Und Microsoft untersucht Berichte, nach denen 37 GByte an Daten (Quellcodes, Zertifikate etc.) von Microsoft Bing, Bing Maps, Cortana etc. durch die Lapsus$-Gruppe ver\u00f6ffentlicht wurden. Beide Firmen haben jetzt Stellungnahmen ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Der Hack bei Okta<\/h2>\n

\"\"Gestern hatte ich im Artikel Authentifizierungsdienst OKTA durch Lapsus$ gehackt?<\/a> berichtet, dass der US-Authentifizierungsdienst OKTA den Verdacht untersucht, dass man durch die Lapsus$-Gruppe gehackt worden sei. Inzwischen gibt es von David Bradbury, Chief Security Officer bei Okta, folgende Stellungnahme<\/a> vom 22. M\u00e4rz 2022 zum Hack.<\/p>\n

Updated Okta Statement on LAPSUS$<\/strong><\/p><\/blockquote>\n

The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers.<\/p><\/blockquote>\n

In January 2022, Okta detected an unsuccessful attempt to compromise the account of a customer support engineer working for a third-party provider. As part of our regular procedures, we alerted the provider to the situation, while simultaneously terminating the user's active Okta sessions and suspending the individual's account. Following those actions, we shared pertinent information (including suspicious IP addresses) to supplement their investigation, which was supported by a third-party forensics firm.<\/p>\n

Following the completion of the service provider's investigation, we received a report from the forensics firm this week. The report highlighted that there was a five-day window of time between January 16-21, 2022, where an attacker had access to a support engineer's laptop. This is consistent with the screenshots that we became aware of yesterday.<\/p>\n

The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data – for example, Jira tickets and lists of users – that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords.<\/p>\n

We are actively continuing our investigation, including identifying and contacting those customers that may have been impacted. There is no impact to Auth0 customers, and there is no impact to HIPAA and FedRAMP customers.<\/p>\n

We take our responsibility to protect and secure our customers' information very seriously. We are deeply committed to transparency and will communicate additional updates when available.<\/p><\/blockquote>\n

Es wird also angegeben, dass Okta als Dienst nicht nicht angegriffen wurde und weiterhin voll funktionsf\u00e4hig sei. Es g\u00e4be keine Korrekturma\u00dfnahmen, die von unseren Kunden ergriffen werden m\u00fcssten. Im Januar 2022 entdeckte Okta einen erfolglosen Versuch, das Konto eines Kundensupportingenieurs zu kompromittieren, der f\u00fcr einen Drittanbieter arbeitet. Es gab, laut Stellungnahmen, ein f\u00fcnft\u00e4giges Zeitfenster zwischen dem 16. und 21. Januar 2022, in dem ein Angreifer Zugriff auf den Laptop eines Support-Technikers (nach meinen Informationen aus Costa Rica) hatte. Die Zeitangabe Januar 2021 deckt sich mit meinen Ausf\u00fchrungen im Artikel Authentifizierungsdienst OKTA durch Lapsus$ gehackt?<\/a> – wobei mir unklar ist, wie die Aussage \"erfolgloser Versuch, Konto zu kompromittieren\" und \"Zugriff auf den Laptop des Support-Technikers\" zusammen passt. Und die Aussage Oktas, dass Lapsus$ keinen Zugriff auf den Dienst gehabt habe, ist mir Vorsicht zu genie\u00dfen (Pfeifen im Wald). Die Lapsus$-Gruppe hat eine Gegendarstellung gepostet, die auf dieser Webseite<\/a> zu finden ist.<\/p>\n

\"Lapsus$<\/p>\n

\"Lapsus$<\/p>\n

Lapsus$ gibt an, einen Thin Client kompromittiert zu haben, so dass man Zugriff auf ein Super User Portal gehabt habe. Dort habe die M\u00f6glichkeit bestanden, die Kennw\u00f6rter und Multi Factor Authentifizierung von 95% der Kunden zur\u00fcckzusetzen. Da scheint also noch was zu kommen – die gesamten Screenshot der Lapsus$-Posts lassen sich auf dieser Webseite<\/a> nachlesen.<\/p>\n

Bei Bleeping Computer hat man die Erkenntnisse in diesem Artikel<\/a> zusammen getragen – CloudFlare war einer der betroffenen Okta-Kunden. Die verwenden, laut deren Stellungnahme<\/a>, Okta f\u00fcr die interne Authentifizierung. Da es den Anschein hatte, dass ein Okta-Support-Mitarbeiter mit Zugriff auf Dinge wie das Zur\u00fccksetzen eines Passworts f\u00fcr ein Okta-Kundenkonto kompromittiert worden war, hat CloudFlare wir beschlossen, alle Mitarbeiterkonten zu \u00fcberpr\u00fcfen, die seit dem 1. Dezember bis heute ihr Passwort zur\u00fcckgesetzt oder ihre Multi-Faktor-Authentifizierung (MFA) in irgendeiner Weise ge\u00e4ndert haben. Seit dem 1. Dezember 2021 hatten 144 Cloudflare-Mitarbeiter ihr Passwort zur\u00fcckgesetzt oder ihre MFA ge\u00e4ndert. CloudFlare hat f\u00fcr alle betroffenen Konten einen Passwort-Reset erzwungen und die Mitarbeiter \u00fcber die \u00c4nderung informiert. Die CloudFlare-Stellungnahme ist ganz lesenswert.<\/p>\n

In diesem Tweet<\/a> hat jemand einen Quick-Check gepostet, wie Okta-Kunden testen k\u00f6nnen sollen, ob sie\u00a0 durch diesen Hack kompromittiert wurden. Die Logs sind auf \"Impersonation Grant\"-Ereignisse zu \u00fcberpr\u00fcfen. Dies wird protokolliert, wenn jemand die Funktion \"Okta-Support-Zugang\" ausschaltet (diese sollte immer deaktiviert sein, es sei denn, sie wird JIT ben\u00f6tigt).<\/p><\/blockquote>\n

Stellungnahme von Microsoft<\/h2>\n

Gestern hatte ich zudem im Artikel Lapsus$ ver\u00f6ffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana<\/a> berichtet, dass die Lapsus$-Gruppe angibt, Daten und Quellcodes diverser Microsoft-Produkte erbeutet zu haben. Es soll sich um 37 GByte an Daten (Quellcodes, Zertifikate etc.) von Microsoft Bing, Bing Maps, Cortana etc. handeln, die nun durch die Lapsus$-Gruppe ver\u00f6ffentlicht werden. Microsoft hat nun ebenfalls Stellung bezogen, wie nachfolgender Tweet<\/a> zeigt.<\/p>\n

\"Lapsus$-Microsoft-Hack<\/a><\/p>\n

In diesem Artikel<\/a> erkl\u00e4rt sich Microsoft recht l\u00e4nglich, wie die Lapsus$-Angreifer vorgehen. In der Textw\u00fcste findet sich dann der Hinweis, dass Lapsus$ behaupte, Zugriff auf Microsofts Repository gehabt und Daten abgezogen zu haben. Das \"Beef\" findet sich in folgender Passage:<\/p>\n

Our investigation has found a single account had been compromised, granting limited access. Our cybersecurity response teams quickly engaged to remediate the compromised account and prevent further activity. Microsoft does not rely on the secrecy of code as a security measure and viewing source code does not lead to elevation of risk. The tactics DEV-0537 used in this intrusion reflect the tactics and techniques discussed in this blog. Our team was already investigating the compromised account based on threat intelligence when the actor publicly disclosed their intrusion. This public disclosure escalated our action allowing our team to intervene and interrupt the actor mid-operation, limiting broader impact.<\/p><\/blockquote>\n

Die interne Untersuchung hat ergeben, dass ein einzelnes Konto kompromittiert wurde, das nur begrenzten Zugang gew\u00e4hrte. Microsofts Cybersecurity-Reaktionsteams h\u00e4tten schnell gehandelt, um das kompromittierte Konto zu bereinigen und weitere Aktivit\u00e4ten zu verhindern. Und Microsoft verl\u00e4sst sich nicht auf die Geheimhaltung von Code als Sicherheitsma\u00dfnahme, und die Einsicht in den Quellcode f\u00fchrt nicht zu einer Erh\u00f6hung des Risikos, so die Aussage aus Redmond. Sollten aber Entwickler-Zertifikate entwendet worden sein, wie es hei\u00dft, w\u00e4re das eher nicht so lustig, sch\u00e4tze ich mal. Die Kollegen von Bleeping Computer machen sich hier<\/a> auch so ihre Gedanken.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nNvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen<\/a>
\nUbisoft durch Lapsus$-Cyber-Gang gehackt (M\u00e4rz 2022)<\/a>
\nSamsung best\u00e4tigt Hack, Quellcodes durch Lapsus$ geleakt<\/a>
\nAuthentifizierungsdienst OKTA durch Lapsus$ gehackt?<\/a>
\nLapsus$ ver\u00f6ffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Gestern wurden gleich zwei Hacks von Big Playern der IT-Szene durch die Lapsus$-Gang bekannt. Die Gruppe reklamierte einen Hack des Authentifizierungsdiensts OKTA, was m\u00f6glicherweise Kunden betrifft. Und Microsoft untersucht Berichte, nach denen 37 GByte an Daten (Quellcodes, Zertifikate etc.) von … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263628","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263628","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263628"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263628\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263628"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263628"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263628"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}