{"id":284909,"date":"2023-08-15T18:56:34","date_gmt":"2023-08-15T16:56:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284909"},"modified":"2024-10-02T14:26:48","modified_gmt":"2024-10-02T12:26:48","slug":"microsoft-cloud-hack-durch-storm-0588-us-senatoren-unter-den-opfern-prfpflicht-fr-europische-verantwortliche","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/15\/microsoft-cloud-hack-durch-storm-0588-us-senatoren-unter-den-opfern-prfpflicht-fr-europische-verantwortliche\/","title":{"rendered":"Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche"},"content":{"rendered":"

[English<\/a>]Es ist schon einige Tage her, dass bekannt wurde, dass es Mitgliedern der mutma\u00dflich chinesischen Cybergruppe Storm-0558 gelungen ist, in die Exchange Online- und privaten outlook.com-Konten von 25 Organisationen einzudringen. Nun meldete sich ein US-Senator mit der Information, dass er gerade vom FBI informiert worden sei, dass sein pers\u00f6nliches E-Mail-Konto von diesem Hack betroffen war. Und weil wir gerade beim Thema sind, packe ich noch eine zweite Information mit in den Beitrag. Administratoren, die f\u00fcr die Betreuung der Microsoft Cloud in Unternehmen verantwortlich sind, m\u00fcssen pr\u00fcfen, ob die Tenants von diesem Hack betroffen waren. Gegebenenfalls ist dann eine Meldung \u00fcber einen Datenschutzvorfall bei den zust\u00e4ndigen Beh\u00f6rden erforderlich.<\/p>\n

<\/p>\n

Der Storm-0558-Angriff<\/h2>\n

\"\"Einer mutma\u00dflich in China angesiedelten Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war es im Juni 2023 gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu geh\u00f6ren auch Regierungsbeh\u00f6rden (US-Au\u00dfenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.<\/p>\n

Hintergrund war, dass die Angreifer in den Besitz eines privaten (MSA)-Kundenschl\u00fcssels f\u00fcr Microsoft-Konten gelangten. Dieser MSA-Key konnte benutzt werden, um Sicherheitstoken zu generieren (f\u00e4lschen). Aber diese Sicherheitstokens lie\u00dfen sich nicht nur f\u00fcr private Microsoft-Konten (z.B. Outlook.com) einsetzen. Auf Grund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und erm\u00f6glichten den Zugriff auf Azure AD-Konten (inzwischen IntraID-Konten genannt).<\/p>\n

Ich hatte in diversen Blog-Beitr\u00e4gen wie China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> (siehe Artikelende) \u00fcber diesen Angriff berichtet. Nach einem Bericht der Sicherheitsforscher von Wiz ging der Sicherheitsvorfall aber viel weiter – Angreifer waren in der Lage, mit einem AAD-Schl\u00fcssel auch AAD-Tokens zu f\u00e4lschen. Das bedeutet, dass Azure-Kundenanwendungen ebenfalls betroffen sein k\u00f6nnen (siehe GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>). Inzwischen fordern US-Politiker Konsequenzen (siehe Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1) und es gibt eine \u00dcberpr\u00fcfung durch das US Cyber Safety Review Board.<\/p>\n

Neue Opfer des Storm-0558-Angriffs<\/h2>\n

Nun wurden neue Opfer des oben erw\u00e4hnten Hacks bekannt. Der Abgeordnete des US-Repr\u00e4sentantenhauses, Don Bacon (aus Nebraska), teilte in einem Tweet<\/a> mit, dass das FBI ihn am Montag (14. August 2023) dar\u00fcber informiert habe, dass die chinesische Regierung \"vom 15. Mai bis zum 16. Juni dieses Jahres in seine pers\u00f6nlichen und Wahlkampf-E-Mails eingedrungen ist\".<\/p>\n

\"New<\/p>\n

Bacon bezieht sich in seinem Tweet auf die oben erw\u00e4hnte, bereits im Juli 2023 bekannt gewordene, Sicherheitsl\u00fccke in der Microsoft-Cloud. Da der Hack bereits zwei Monate her ist, scheint das FBI erst jetzt Klarheit dar\u00fcber zu bekommen, wer sonst noch alles betroffen ist – von Microsoft kam ja nur d\u00fcnne PR, dass die b\u00f6sen Hacker lediglich 25 Organisationen angegriffen h\u00e4tten und in deren Postf\u00e4cher eingedrungen w\u00e4ren. Dass die Angreifer einen Monat in den E-Mail-Konten herum spazieren konnten, ging in der Berichterstattung Microsofts weitgehend unter.<\/p>\n

Bacon deutet an, dass es weitere Opfer dieser Cyberoperation gegeben habe. Techcrunch schreibt hier<\/a>, dass die Hacker auch auf die Posteing\u00e4nge der US-Handelsministerin Gina Raimondo und des US-Botschafters in China, Nicholas Burns, zugegriffen haben. Und es Hinweise, dass auch ein nicht namentlich genannter Mitarbeiter des Kongresses Ziel des Angriffs geworden sei. Bleibt die Frage, was da noch \u00f6ffentlich wird. Ich hatte ja im Beitrag Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1 auf die teils haarstr\u00e4ubenden Details dieses \"Hacks\" hingewiesen.<\/p>\n

Tenant-Administratoren haben Pr\u00fcfpflicht<\/h2>\n

Ich schiebe hier mal einen weiteren Hinweis zu diesem Thema ein, da es dem obigen Hack doch allzu ruhig nach geblieben ist. Denn im Grunde ist die komplette Microsoft Cloud als kompromittiert anzusehen. Microsoft hat zwar einiges an Texten produziert und k\u00fcrzlich auch eine Anleitung zur \u00dcberpr\u00fcfung der Cloud auf gestohlene Sicherheitstokens ver\u00f6ffentlicht (siehe meinen Blog-Beitrag Microsoft ver\u00f6ffentlicht TokenTheft-Playbook<\/a>).<\/p>\n

Genau dieses TokenTheft-Playbook war der Aufh\u00e4nger f\u00fcr den Blog-Beitrag Erfolgreicher Hackerangriff auf Microsoft Cloud \u2013 Microsoft reagiert (endlich)<\/a> von Philip Kroll, Senior Berater Datenschutz Nord). Der relevante Teil des Beitrags, auf dem es mir ankommt, bezieht sich auf den datenschutzrechtlichen Aspekt. Philip Kroll schreibt dazu, dass der Verantwortliche f\u00fcr den Tenant-Einsatz aufgrund seiner umfassenden Pflichten auch datenschutzrechtlich gezwungen ist, einschl\u00e4gigen Sicherheitswarnungen nachzugehen und die eigene Betroffenheit zu pr\u00fcfen.<\/p>\n

Tenant-Administratoren in Europa sollten, so der Ratschlag des Datenschutzberaters, aktiv werden und mit Hilfe des Playbooks pr\u00fcfen, um einen Angriff auf Ihren Tenant im Zeitraum Mitte Mai bis Mitte Juni auszuschlie\u00dfen. Auf Microsoft und deren Informationspolitik solle man nicht vertrauen. Wird eine Kompromittierung des oder der Tenants festgestellt, seien die Datenschutzverantwortlichen ab dem Zeitpunkt mit hoher Sicherheit verpflichtet, dies der Aufsichtsbeh\u00f6rde als Datenpanne zu melden, hei\u00dft es von Kroll. Inzwischen stellt Microsoft seinen Kunden ja auch ein erweitertes Cloud-Logging bereit (siehe Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n

PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist schon einige Tage her, dass bekannt wurde, dass es Mitgliedern der mutma\u00dflich chinesischen Cybergruppe Storm-0558 gelungen ist, in die Exchange Online- und privaten outlook.com-Konten von 25 Organisationen einzudringen. Nun meldete sich ein US-Senator mit der Information, dass er … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[4375,1171,4328],"class_list":["post-284909","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-azure","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284909"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284909\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}