{"id":284540,"date":"2023-08-03T16:19:46","date_gmt":"2023-08-03T14:19:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284540"},"modified":"2023-09-18T15:51:37","modified_gmt":"2023-09-18T13:51:37","slug":"sicherheitsrisiko-microsoft-feuer-von-der-us-politik-nach-microsofts-azure-cloud-gau-und-forderung-zum-microsoft-exit-teil-1","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-feuer-von-der-us-politik-nach-microsofts-azure-cloud-gau-und-forderung-zum-microsoft-exit-teil-1\/","title":{"rendered":"Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1"},"content":{"rendered":"

[English<\/a>]Ist Microsoft und sein Umgang mit Sicherheitsl\u00fccken in seinen Produkten inzwischen das \"Cyberrisiko Nummer 1\"? Der Hack der Microsoft Azure-Dienste durch die mutma\u00dflich chinesische Gruppe Storm-0558, erm\u00f6glicht durch einen gestohlenen privaten MSA-Schl\u00fcssel, scheint das Fass zum \u00dcberlaufen gebracht zu haben. US-Senatoren haben den Vorfall und den unverantwortlichen Umgang Microsofts mit dem Thema Sicherheit in einem geharnischten Brief an US-Institutionen auf den Tisch gebracht und fordern Untersuchungen bzw. Konsequenzen. Und von Denis Kipker, Professor f\u00fcr Sicherheit, habe ich die Tage ein Interview in der WiWo gelesen, dass es Zeit sei, sich endlich von der Microsoft Monokultur zu l\u00f6sen, wenn Cybersicherheit gew\u00e4hrleistet werden soll.<\/p>\n

<\/p>\n

GAU: Microsofts Azure Cloud-Hack<\/h2>\n

\"\"Der letzte Tropfen, der das Fass wohl zum \u00dcberlaufen gebracht hat, ist das Eindringen von Angreifern in Exchange Online- und outlook.com-Konten. Zuerst war nur bekannt geworden, dass der mutma\u00dflich in China angesiedelten Hackergruppe Storm-0558 ein Angriff auf die Microsoft Cloud gelungen war. Es hie\u00df, im Juni 2023 sei es der Gruppe gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu geh\u00f6ren auch Regierungsbeh\u00f6rden (US-Au\u00dfenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.<\/p>\n

Brisanz erlangte das Ganze, weil Microsoft, gekleidet in viel Text, eingestehen musste, dass die Angreifer in den Besitz eines privaten (MSA)-Kundenschl\u00fcssels f\u00fcr Microsoft-Konten gelangten. Dieser MSA-Key konnte benutzt werden, um Sicherheitstoken zu generieren (f\u00e4lschen). Aber diese Sicherheitstokens lie\u00dfen sich nicht nur f\u00fcr private Microsoft-Konten (z.B. Outlook.com) einsetzen. Auf Grund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und erm\u00f6glichten den Zugriff auf Azure AD-Konten (inzwischen IntraID-Konten genannt).<\/p>\n

Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> dar\u00fcber berichtet. In einem Beitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a> habe ich weitere Details, die von Microsoft in einem Folgebeitrag \u00f6ffentlich gemacht wurden, berichtet. Noch mehr Brisanz bekam das Thema, als So richtig brisant wurde es, als Sicherheitsforscher von Wiz \u00f6ffentlich gemacht haben, dass es sich bei dem kompromittierten Microsoft-Schl\u00fcssel um einen \"Skelettschl\u00fcssel\" handelt, der f\u00fcr Microsofts MSA-Tenant in Azure genutzt werden kann. Das er\u00f6ffnet nicht nur den Zugang zu outlook.com und Exchange Online, sondern erm\u00f6glichte auch Sicherheitstokens f\u00fcr Azure-Anwendungen zu generieren. Der daraus zu ziehende Schluss: Die gesamten Azure-Dienste samt Azure-Apps m\u00fcssen seit diesem Vorfall als kompromittiert angesehen werden. Ich hatte diesen Sachverhalt im Blog-Beitrag GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a> mit Details aufgegriffen. Die Angreifer waren mindestens seit Mai 2023 in der Microsoft-Cloud unterwegs.<\/p>\n

US-Senatoren greifen Microsoft an<\/h3>\n

Daniela hatte mich bereits am Montag, den 31. Juli 2023 drauf hingewiesen<\/a>, dass der obige Fall nicht so einfach sang- und klanglos unter dem Teppich verschwindet. Die Kollegen von Inside-IT aus der Schweiz haben ein geharnischtes Schreiben (PDF)<\/a> von US-Senator Ron Wyden aufgegriffen<\/a>, welches an Generalstaatsanwalt Merrick Garland, die Vorsitzende der Federal Trade Commission (FTC), Lina Khan, und die Direktorin der Cyberbeh\u00f6rde (CISA), Jen Easterly ging. Wyden wirft Microsoft einen fahrl\u00e4ssigen Umgang mit Sicherheitsfragen vor.<\/p>\n

Haarstr\u00e4ubende Details des Sicherheitsvorfalls<\/h3>\n

Der US-Senator legt in seinem Brief einige dicke Kl\u00f6pse offen, die mir so bisher noch nicht bekannt waren und von Microsoft auch nicht kommuniziert wurden. Selbst mit den wenigen Details, die bisher bekannt geworden sind, trage Microsoft eine erhebliche Verantwortung f\u00fcr diesen neuen Vorfall, hei\u00dft es im Brief. Hier eine Liste \"des Schreckens\":<\/p>\n