{"id":284543,"date":"2023-08-03T17:08:11","date_gmt":"2023-08-03T15:08:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284543"},"modified":"2023-09-29T14:49:09","modified_gmt":"2023-09-29T12:49:09","slug":"sicherheitsrisiko-microsoft-azure-schwachstelle-seit-mrz-2023-ungepatcht-schwere-kritik-von-tenable-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-azure-schwachstelle-seit-mrz-2023-ungepatcht-schwere-kritik-von-tenable-teil-2\/","title":{"rendered":"Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2"},"content":{"rendered":"

[English<\/a>]Schwere Vorw\u00fcrfe von Sicherheitsanbieter Tenable an Microsoft. So soll eine kritische Schwachstelle in Azure Active Directory (AAD, neuerdings EntraID) seit M\u00e4rz 2023 bekannt sein, bisher aber nicht gepatcht worden sein. Der CEO von Sicherheitsanbieter Tenable, Amit Yoran, kritisiert Microsofts Umgang mit Sicherheitsl\u00fccken scharf. \u00dcber 40 Prozent aller besonders akuten Schwachstellen der vergangenen Jahre stehen im Zusammenhang mit Produkten von Microsoft. Das kommt f\u00fcr Redmond zur Unzeit, wirft der Hack der Microsoft Azure-Dienste durch die mutma\u00dflich chinesische Gruppe Storm-0558 doch schon Wellen genug. Erg\u00e4nzung: <\/strong>Die Azure-Schwachstelle wurde laut Microsoft gepatcht.<\/p>\n

<\/p>\n

\"\"Der Hack der Microsoft Azure-Dienste durch die mutma\u00dflich chinesische Gruppe Storm-0558, erm\u00f6glicht durch einen gestohlenen privaten MSA-Schl\u00fcssel, k\u00f6nnte ein Weckruf im Hinblick auf das \"Cyberrisiko Microsoft\" werden. In den USA hat sich in den vergangenen Stunden die CISA (Cybersecurity and Infrastructure Security Agency) mit der hohen Anzahl an besonders riskanten Sicherheitsl\u00fccken in Microsoft-Produkten befasst (siehe diesen Artikel<\/a> auf Bleeping Computer).<\/p>\n

Tenable deckt neue Azure-Schwachstelle auf<\/h2>\n

Im M\u00e4rz 2023 untersuchte ein Mitglied des Forschungsteams von Tenable die Azure-Plattform von Microsoft und die damit verbundenen Dienste. Der Forscher entdeckte eine Schwachstelle, die es einem nicht authentifizierten Angreifer erm\u00f6glichen w\u00fcrde, auf mandanten\u00fcbergreifende Anwendungen (cross-tenant applications) und sensible Daten, wie etwa Authentifizierungsgeheimnisse, zuzugreifen. Das hei\u00dft, dass in Azure keine Tenant-Isolierung erfolgte, eigentlich der Todessto\u00df f\u00fcr einen Cloud-Anbieter. Das Ganze wurde von Tenable im Blog-Beitrag Unauthorized Access to Cross-Tenant Applications in a Microsoft Azure Service<\/a> ver\u00f6ffentlicht, weil das Ganze ungefixt ist, gibt es aber keine Details.<\/p>\n

Interessant ist die Timeline, die besagt, dass Microsoft am 30. M\u00e4rz 2023 durch Tenable \u00fcber die schwere Sicherheitsl\u00fccke informiert wurde. In einer Meldung, die mir von Tenable direkt zuging, um zu unterstreichen, wie kritisch das Ganze ist, hei\u00dft es, dass das Team sehr schnell die Authentifizierungsgeheimnisse einer Bank entdeckte. Nat\u00fcrlich wurde die Bank informiert, die dann sofort Microsoft benachrichtigte.<\/p>\n

Bildlich gesprochen: Da war die H\u00fctte lichterloh am Brennen – und das Ganze erinnert mich an den im Juli 2023 bekannt gewordenen Hack von Exchange Online-Konten durch die Hacker von Storm-0558 (siehe China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>). Inzwischen hat sich der Fall ja zum Sicherheitsdesaster f\u00fcr die Microsoft Cloud entwickelt, wie ich im Beitrag GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a> erl\u00e4utert habe.<\/p>\n

Nun k\u00f6nnte man annehmen, dass Microsoft das von Tenable berichtete Sicherheitsproblem umgehend behebt. Denn \u00fcber die Schwachstelle k\u00f6nnen Angreifer in die Netzwerke und (Azure-) Dienste diverser Kunden eindringen. Dazu schreibt Tenable, dass es mehr als 90 Tage gedauert habe, um die Schwachstelle wenigstens teilweise zu beheben \u2013 allerdings nur f\u00fcr neu in Microsoft Azure als Dienst geladene Anwendungen.<\/p>\n

Das bedeutet, dass die erw\u00e4hnte Bank auch heute noch gef\u00e4hrdet ist, mehr als 120 Tage nachdem Tenable das Problem gemeldet hat. Dies gilt ebenso f\u00fcr alle anderen Unternehmen, die den Dienst vor der Behebung des Problems in Betrieb genommen hatten. Soweit bekannt ist, wissen diese Unternehmen immer noch nicht, dass sie gef\u00e4hrdet sind und k\u00f6nnen daher keine fundierten Entscheidungen \u00fcber entsprechende Kontrollen und andere risikomindernde Ma\u00dfnahmen treffen.<\/p>\n

Microsoft gibt an, das Problem bis Ende September 2023 beheben zu wollen, also vier Monate, nachdem Tenable es gemeldet hatte. Tenable bezeichnet das als grob unverantwortlich, wenn nicht gar grob fahrl\u00e4ssig. Tenable wei\u00df \u00fcber das Problem Bescheid, Microsoft wei\u00df \u00fcber das Problem Bescheid \u2013 und die Angreifer hoffentlich nicht, schreibt Tenable in einer Stellungnahme, die mir vorliegt. Der Sicherheitsanbieter will am 28. September 2023 weitere Details zur Schwachstelle ver\u00f6ffentlichen.<\/p>\n

Tenable CEO kritisiert Microsofts Umgang mit Sicherheitsl\u00fccken<\/h2>\n

Inzwischen kritisiert<\/a> Amit Yoran, Chairman und Chief Executive Officer (CEO) bei Tenable, Microsoft f\u00fcr sein Verhalten in ungew\u00f6hnlicher Sch\u00e4rfe (da scheint das Fass zum \u00dcberlaufen gebracht worden zu sein). In einem Statement mit dem Titel \"Microsoft und Cybersicherheit … Schlimmer als bef\u00fcrchtet\" wirft der Tenable CEO Microsoft mangelnde Transparenz vor und bezieht sich auf Sicherheitsverletzungen, unverantwortliche Sicherheitspraktiken und Schwachstellen. Die setze alle Kunden Risiken aus, \u00fcber die diese absichtlich im Unklaren gelassen werden.<\/p>\n

Die Schwurbelei Microsofts im Zusammenhang mit dem Storm-0558 Hack ist bestes Beispiel. Ich hatte ja in mehreren Blog-Beitr\u00e4gen \u00fcber das Thema berichtet (siehe Artikel am Beitragsende) und angedeutet, dass Redmond versucht, sein kolossales Versagen in einer Textwand zu verstecken.<\/p><\/blockquote>\n

Amit Yoran weist in seiner mir vorliegenden Stellungnahme auch auf den Brief von US-Senator Ron Wyden hin, den er an die Cybersecurity and Infrastructure Security Agency (CISA), das Justizministerium und die Federal Trade Commission (FTC) geschickt hat. Ich habe diesen Brief und die darin aufgeworfenen brisanten Erkenntnisse im Blog-Beitrag Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> – Teil 1 angesprochen. Ron Wyden fordert die Adressaten des Briefs auf, Microsoft f\u00fcr ein wiederholtes Muster fahrl\u00e4ssiger Cybersicherheitspraktiken, die chinesische Spionage gegen die US-Regierung erm\u00f6glicht haben, zur Rechenschaft zu ziehen. Den Daten von Google Project Zero zufolge waren Microsoft-Produkte f\u00fcr insgesamt 42,5 Prozent aller seit 2014 entdeckten Zero-Days verantwortlich.<\/p>\n

Yoran schreibt, dass Cloud-Provider sich lange f\u00fcr das Modell der \"geteilten Verantwortung\" eingesetzt h\u00e4tten. Dieses Modell sieht der Tenable CEO unwiederbringlich gebrochen, wenn ein Cloud-Provider seine Kunden nicht unverz\u00fcglich \u00fcber aufgetretene\/bekannt gewordene Probleme informiert, und diese nicht transparent behebt.<\/p>\n

Und dann bringt Amit Yoran einen Sachverhalt auf den Tisch, den ich hier im Blog in diversen Beitr\u00e4gen auch schon mal einflechte. Kunden von Microsoft bekommen \"Vertrauen Sie uns einfach\" zu h\u00f6ren, aber was sie zur\u00fcckbekommen, ist sehr wenig Transparenz und eine Kultur der absichtlichen Verschleierung.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen schl\u00e4gt die Kritik des Tenable CEO auch in US-Medien Kritik – ich verweise auf diesen Kommentar<\/a> von 1ST1, der auf einige Artikel verlinkt (danke daf\u00fcr).<\/p><\/blockquote>\n

Zeit f\u00fcr eine Microsoft Exit<\/h2>\n

Abschlie\u00dfend fragt der Tenable CEO: \"Wie kann ein CISO, der Vorstand oder das F\u00fchrungsteam glauben, dass Microsoft angesichts der Fakten und des derzeitigen Verhaltens das Richtige tun wird? Microsofts Erfolgsbilanz setzt uns alle Risiken aus \u2013 und es ist noch schlimmer, als wir dachten.\" Das ist ein vernichtendes Urteil f\u00fcr Microsoft als Cloud- und Softwareanbieter.<\/p>\n

Aktuell sehe ich ein Unternehmen, dessen Mitarbeiter heillos \u00fcberfordert sind, wenn es um Qualit\u00e4tssicherung und Sicherheit geht. Gepaart wird dies durch ein frei drehendes Marketing, sowie eine F\u00fchrungsmannschaft, die angesichts des B\u00f6rsenkurses vor Kraft kaum laufen kann. Dabei steht das Gebilde auf t\u00f6nernen F\u00fc\u00dfen, wenn man die Entwicklung der letzten Jahre verfolgt.<\/p>\n

Microsofts CEO, Satya Nadella, hat meiner Meinung nach sein Unternehmen mit der Forderung \"Mobile first, Cloud First\", den seit 2014 mehrfach durchgef\u00fchrten Entlassungen, sowie weiteren Ma\u00dfnahmen wie Verwendung von Open Source heillos \u00fcberfordert. W\u00e4hrend Amazon, Facebook, Google und eine Reihe anderer US-Tech-Giganten seit Beginn auf Open Source (z.B. Linux als Betriebssystem) setzen, habe ich das Gef\u00fchl, dass bei Microsoft die vorhandenen \"On-Premises\"-Produkte \"f\u00fcr die Azure Cloud\" ert\u00fcchtigt wurden. Das Marketing ist stark darin, Kunden mit einem \"Feuerwerk an vermeintlichen Neuerungen\" zu traktieren und dann \u00fcber Abo-Vertr\u00e4ge f\u00fcr Cloud-Dienste in Abh\u00e4ngigkeiten zu zwingen.<\/p>\n

Und die armen Entwickler sowie Supporter kommen mit den immer neuen Schlenkern nicht mehr hinterher. W\u00e4hrend vorne die Marktschreier die neuesten AI-Innovationen a la CoPilot lauthals preisen, geht im Hinterkopf gerade die Sicherheit \u00fcber Bord. Bricht nun die \"G\u00f6tterd\u00e4mmerung f\u00fcr Microsoft\" an? Keine Ahnung, die Abh\u00e4ngigkeiten werden einen schnellen Exit von diesem Anbieter verhindern. Ich habe aber das Gef\u00fchl, dass sich zumindest aktuell etwas zusammen braut, was sich zum Sturm entwickeln k\u00f6nnte. Microsoft scheint einfach aus alten Fehlern nichts gelernt zu haben – und ich denke, die Kartellbeh\u00f6rden und auch die US-Regierung hat langsam die \"Nase von den leeren Versprechen\" der US-Tech-Giganten voll und wird diese mittelfristig regulieren. Aber vielleicht bin ich auch zu optimistisch, und es passiert einfach nichts, bis das System \"IT mit Monokultur\" kollabiert. Wie seht ihr das so?<\/p>\n

Schwachstelle doch noch gepatcht<\/h2>\n

Erg\u00e4nzung: <\/strong>Die Kritik hat ziemliche Wellen geschlagen, so dass Microsoft die Azure-Schwachstelle gem\u00e4\u00df dieser Verlautbarung<\/a> vom 4. August 2023 vorzeitig doch noch gepatcht hat: Microsoft issued an initial fix on 4 June 2023 to mitigate this issue for a majority of customers<\/em>. Ich habe das Thema im Beitrag\u00a0Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt<\/a> nochmals mit einigen Informationen zur Schwachstelle und deren Beseitigung (die waren von Tenable noch nicht \u00f6ffentlich gemacht worden) aufgegriffen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nMehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2
\nPowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie<\/a> – Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Schwere Vorw\u00fcrfe von Sicherheitsanbieter Tenable an Microsoft. So soll eine kritische Schwachstelle in Azure Active Directory (AAD, neuerdings EntraID) seit M\u00e4rz 2023 bekannt sein, bisher aber nicht gepatcht worden sein. Der CEO von Sicherheitsanbieter Tenable, Amit Yoran, kritisiert Microsofts Umgang … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[4375,1171,4328],"class_list":["post-284543","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-azure","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284543"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284543\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}