{"id":285125,"date":"2023-08-21T10:03:04","date_gmt":"2023-08-21T08:03:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285125"},"modified":"2023-09-18T15:42:46","modified_gmt":"2023-09-18T13:42:46","slug":"nachgehakt-zum-cloud-hack-durch-storm-0588-und-microsofts-schweigen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/21\/nachgehakt-zum-cloud-hack-durch-storm-0588-und-microsofts-schweigen\/","title":{"rendered":"Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen"},"content":{"rendered":"

Ich greife nochmals das Thema Hack der Microsoft Azure Cloud-Infrastruktur durch die mutma\u00dflich chinesische Gruppe Storm-0558 auf. Microsoft h\u00fcllt sich bez\u00fcglich des Ausma\u00dfes in Schweigen, w\u00e4hrend immer mal wieder neue Opfer bekannt werden. Generell ist es verd\u00e4chtig ruhig um den Sachverhalt, dass im schlimmsten Fall die komplette Microsoft Azure AD-Infrastruktur kompromittiert sein k\u00f6nnte. heise hat die Tage nochmals einen Kommentar diesbez\u00fcglich ver\u00f6ffentlicht, aber einige Aspekte nicht angerissen. So stellt sich mir die Frage, wie das Ganze in Richtung DSGVO zu bewerten ist – und ich habe mal Anfragen gestellt. Hier ein Nachschlag in der Causa Storm-0558 Hack.<\/p>\n

<\/p>\n

Der Storm-0558 Hack<\/h2>\n

\"\"Mitgliedern der mutma\u00dflich chinesischen Cybergruppe Storm-0558 ist es gelungen, mindestens seit Mai 2023 unerkannt in die Exchange Online- und privaten outlook.com-Konten von 25 Organisationen einzudringen. Aufgefallen ist es erst im Juni 2023, als IT-Mitarbeiter des US-Au\u00dfenministeriums ungew\u00f6hnliche Aktivit\u00e4ten feststellen – Microsoft war diesbez\u00fcglich \"blind\". Und die IT des US-Au\u00dfenministeriums war nur deshalb in der Lage, den Angriff zu erkennen, weil man, entgegen dem Rest der Microsoft Cloud-Nutzer, erweiterte Logging- und Reporting-Funktionen durch Microsoft erhielt.<\/p>\n

Inzwischen ist klar, dass die Angreifer in den Besitz eines privaten (MSA)-Kundenschl\u00fcssels f\u00fcr Microsoft-Konten gelangten. Dieser MSA-Key konnte benutzt werden, um Sicherheitstoken zu generieren (f\u00e4lschen). Aber diese Sicherheitstokens lie\u00dfen sich nicht nur f\u00fcr private Microsoft-Konten (z.B. Outlook.com) einsetzen. Auf Grund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und erm\u00f6glichten den Zugriff auf Azure AD-Konten (inzwischen EntraID-Konten genannt).<\/p>\n

Ich hatte in diversen Blog-Beitr\u00e4gen wie China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> (siehe Artikelende) \u00fcber diesen Angriff berichtet. Nach einem Bericht der Sicherheitsforscher von Wiz ging der Sicherheitsvorfall aber viel weiter \u2013 Angreifer waren in der Lage, mit einem AAD-Schl\u00fcssel auch AAD-Tokens zu f\u00e4lschen. Das bedeutet, dass Azure-Kundenanwendungen ebenfalls betroffen sein k\u00f6nnen (siehe GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>).<\/p>\n

Eigentlich m\u00fcssten jetzt fieberhaft Aktivit\u00e4ten laufen, um zu pr\u00fcfen, was alles kompromittiert wurde – aber da h\u00f6rt man nichts. Von Jemand hat es in diesem Kommentar<\/a> kurz angerissen, zu Kaspersky und Huawei gibt es Verzichtsempfehlungen und Diskussionen. Aber bei deutschen Firmen und vor allem Beh\u00f6rden, die stark auf die Microsoft Cloud und Microsoft 365 setzen, herrscht Business as usual.<\/p>\n

Ich wurde die Tage nochmals durch den Bericht, dass ein US-Senator die Tage durch das FBI \u00fcber Zugriffe auf sein Konto informiert wurde (Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>) erneut auf das Thema aufmerksam. Im Artikel hatte ich auf die Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche im Rahmen der DSGVO hingewiesen.<\/p>\n

Ein Kommentar bei heise<\/h2>\n

Vorige Woche hatte heise diesen Artikel<\/a> als Kommentar zum GAU des Microsoft Cloud-Hacks ver\u00f6ffentlicht, der auf die fatalen Umst\u00e4nde und die fehlende Reaktionen Microsofts abstellt.<\/p>\n

\"Kommentar<\/a><\/p>\n

Es ist der Dauerbrenner \"Sicherheit bei Microsoft\" der durch diesen Fall erneut hochkocht, aber seit Jahren eigentlich latent im Hintergrund lauert. Heise sieht ein ziemlich verheerendes Bild, \"wie es rund um die Sicherheit der microsoftschen Infrastruktur hinter der Azure Cloud bestellt ist \u2013 und damit auch um die Sicherheit von Microsoft 365, dem vermutlich erfolgreichsten Cloud-Produkt aus Redmond\". Der Kommentar ist in meinen Augen ganz lesenswert.<\/p>\n

Ein Kommentar aus der Praxis<\/h2>\n

\u00dcber die Nutzerkommentare zu obigem heise-Artikel bin ich dann auf diesen Post<\/a> eines genervten IT-Admins gesto\u00dfen, der seine Erfahrungen aus der Praxis einer Firma eingestellt hat. Dort wird wohl heftig auf die Cloud gesetzt und der Betreffende beschreibt die Umgebung so:<\/p>\n

Wir haben bei uns in der Company, wie viele ebenso, Cloud Everythere. […] Dabei ist Azure sozusagen \u00fcber die \"Hintert\u00fcre\" von SAP mit ins Portfolio geschoben worden. Willst du Hybris, musst du Azure nehmen (\u00fcbertrieben, wird aber so verkauft).<\/p><\/blockquote>\n

Kann man zur Kenntnis nehmen. Aber kommen wir nun zur Frage, wie ein IT-Verantwortlicher feststellen kann, ob er eventuell einem Sicherheitsrisiko durch die Microsoft Cloud ausgesetzt ist. Dazu schreibt der Betreffende:<\/p>\n

Am Ende des Tages hast du Logs, die nur noch 2 Wochen r\u00fcckw\u00e4rtig betrachten kannst, Einschr\u00e4nkungen in der Abrufbarkeit und Auswertbarkeit und die zugeh\u00f6rigen TIG Stack oder Dynatraces sind oftmals so schlecht konfiguriert das \u00fcberwachen kaum m\u00f6glich ist.<\/p><\/blockquote>\n

Eingreifen in die Logiken kannst du kaum, da dieser Service ja nun mal vom Cloudbetreiber angeboten wird.<\/p><\/blockquote>\n

Der Admin schreibt, dass man total abh\u00e4ngig von diesen Cloud-L\u00f6sungen sei, egal ob diese aus Walldorf oder aus Redmond kommen. Die Produkte seien so tief ins Tagesgesch\u00e4ft implementiert, das Firmen kaum eine Chance haben, die IT ohne diese Ans\u00e4tze zu betreiben. Es g\u00e4be zwar Alternativen, die sich bei Kunden eben nur bedingt in die Strukturen der gro\u00dfen Softwareunternehmen einf\u00fcgen. Am Ende des Tages, so konstatiert der Mann, dass der obige \"Super Gau\" bei ihm im Unternehmen kaum Gespr\u00e4chsbedarf in der Firma erzeugt habe, es herrscht Business as usual. Dann fragt er \"Was sollten wir auch tun?\" und liefert folgendes traurige Bild:<\/p>\n

Die Daten liegen in Tenants verborgen, die Software dar\u00fcber wird angepasst und die Maschinen sind entweder up and running oder eben nicht. Hack ins System, der \u00fcber den Cloud-Anbieter stattfindet, wird kaum in den Szenarien ber\u00fccksichtig und wehe, du sprichst das Thema einmal an, wird auf die vertraglichen Vereinbarungen verwiesen.<\/p>\n

Somit spricht keiner \u00fcber das Thema. Es ist nicht unser Paygrade und ehrlich gesagt ist es mir auch egal, ob es bei M$ knallt. Denn ich kann kaum aktiv dagegen einwirken oder was am \"Blech\" oder den installierten Modulen machen. Ab und an kann man sich mal mit Technologen austauschen und merkt das alle so denken.<\/p>\n

Was mit dann einen Schauer auf den R\u00fccken jagt, ist der Umstand, dass eine Generation von \"ITlern\" heranw\u00e4chst, die es anders nicht kennen. Und dann denke ich mir, dass es so w\u00e4re, als w\u00fcrde ein Land seine Bauern entfernen, um irgendwann dann Consultants einkaufen zu m\u00fcssen, um zu wissen, wie man ne Tomate anbaut. Und diese Consultants werden dann sch\u00f6n auf die Tomaten-Inc. verweisen, die doch auf Inseln im Atlantik viel besser und g\u00fcnstiger Tomaten anbauen k\u00f6nnen, egal ob dabei alle Vorschriften eingehalten werden.<\/p>\n

Letztendlich werden wir \"alten\" ITler, die es gewohnt waren, ihre Bleche im Blick zu haben und sich die N\u00e4chte mit Probleml\u00f6sungen und Updates um die Ohren zu schlagen, aussterben.<\/p>\n

\u00dcbrig bleiben die, die gut ein Ticket an M$ oder die anderen Anbieter verfassen k\u00f6nnen, wo weiterhin Know-how gehortet wird und alles daf\u00fcr getan werden wird, das die Unternehmen so abh\u00e4ngig von ihnen werden wie der Fixer vom Dealer.<\/p><\/blockquote>\n

Ich denke, das bildet auch den Diskussionsstand ab, den ich hier im Blog in Kommentaren so herauslese. Der Zug der Lemminge, gegen den sich niemand stellen kann oder will.<\/p>\n

Bei BfDI und Microsoft nachgefragt<\/h2>\n

Im Rahmen der obigen Thematik hat jemand in den heise-Kommentaren nachgefragt, ob Microsoft nicht eine DSGVO-Meldung h\u00e4tte absetzen m\u00fcssen, weil ja potentiell viele Firmen betroffen sein k\u00f6nnten. Wenn ich es nicht g\u00e4nzlich falsch interpretiere, ist Microsoft mit seiner Cloud ja \"Dienstleister und Verarbeiter\" f\u00fcr Firmen. Daher sind die Firmen verantwortlich, falls Datenschutzvorf\u00e4lle passieren – auf genau den Sachverhalt hatte ich ja im Beitrag Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>\u00a0 hingewiesen.<\/p>\n

Aber dann ist mir eingefallen, dass Microsoft ja auch von mir pers\u00f6nliche Daten verwaltet, da ich mindestens ein Microsoft-Konto besitze. Damit ist Microsoft potentiell verpflichtet, 72 Stunden nach Kenntnisnahme es m\u00f6glichen Vorfalls (ggf. vorsorglich) eine Meldung bei der Datenschutzaufsicht vorzunehmen. Also habe ich am Wochenende als erstes eine Anfrage an den europ\u00e4ischen Datenschutzbeauftragten Microsofts in Irland abgesetzt. Das ist \u00fcber diese Webseite<\/a> m\u00f6glich.<\/p>\n

\"Datenschutzanfrage<\/a><\/p>\n

Wenn man sich durch die Formulare hangelt, kann man am Ende des Tages seine Anfrage stellen. Ich habe dann folgendes angefragt:<\/p>\n

Im Juni 2023 wurde ein Angriff der mutma\u00dflich chinesischen Cybergruppe Storm-0558 auf die Microsoft Azure AD (IntraID) Infrastruktur bekannt, bei dem (mindestens) auch E-Mail-Konten von Kunden betroffen waren. Laut Sicherheitsanbieter Wiz lie\u00dfen sich mit dem erbeuteten AAD-Schl\u00fcssel AAD-Sicherheitstokens generieren, mit denen auf alle Azure Kundenanwendungen zugegriffen werden konnte.<\/p>\n

Da Microsoft auch Daten europ\u00e4ischer und deutscher Kunden speichert, gehe ich davon aus, dass diese Daten potentiell vom Cybersicherheitsvorfall betroffen sein k\u00f6nnen und zweitens, dass Microsoft Deutschland die zust\u00e4ndige Datenschutzaufsicht vorsorglich informiert hat.<\/p>\n

Frage 1: Ist Microsoft dieser Informationspflicht nachgekommen und bei welcher Stelle ist diese Meldung erfolgt?
\nFrage 2: Sind von Microsoft gespeicherte Daten, die mit [meiner E-Mail-Adresse] verkn\u00fcpft sind, durch den Sicherheitsvorfall tangiert worden<\/p><\/blockquote>\n

Mal schauen, ob ich eine Antwort aus Irland bekomme. Parallel dazu hatte ich die Idee beim Bundesbeauftragten f\u00fcr Datenschutz in der Informationstechnik (BfDI) bei deren Presseabteilung nachzufragen, ob denen eine Meldung Microsofts bekannt sei.<\/p>\n

Sehr geehrte Damen und Herren,<\/p>\n

als Pressesprecher des BfDI kontaktiere ich Sie in Bezug auf eine Nachfrage zu folgendem Sachverhalt, f\u00fcr den eigentlich der BfDI zust\u00e4ndig sein m\u00fcsste.<\/p>\n

Aus den Medien ist ja bekannt, dass im Juni 2023 ein Angriff der mutma\u00dflich chinesischen Cybergruppe Storm-0558 auf die Microsoft Azure AD (IntraID) Infrastruktur stattgefunden hat [1<\/a>] und (mindestens) auch E-Mail-Konten von Kunden betroffen waren.<\/p>\n

Einem Bericht des Sicherheitsanbieters Wiz [2<\/a>] nach lie\u00dfen sich mit dem durch die Gruppe Storm-0558 erbeuteten AAD-Schl\u00fcssel AAD-Sicherheitstokens generieren, mit denen auf alle Azure Kundenanwendungen zugegriffen werden konnte.<\/p>\n

Da Microsoft ja auch Daten europ\u00e4ischer und deutscher Kunden speichert, gehe ich davon aus, dass erstens potentiell auch pers\u00f6nliche Daten dieser Kudnen vom Cybersicherheitsvorfall betroffen sein k\u00f6nnen und zweitens, dass Microsoft Deutschland die zust\u00e4ndige Datenschutzaufsicht vorsorglich informiert hat.<\/p>\n

Frage 1: Wird diese Informationspflicht Microsofts vom BfDI auch so gesehen?<\/p>\n

Frage 2: Ist Microsoft Deutschland diesbez\u00fcglich seiner Informationspflicht nachgekommen und hat den Vorfall gemeldet?<\/p>\n

Weiterhin sieht es nach meinem Daf\u00fcrhalten so aus, dass Microsofts europ\u00e4ische Tenant-Kunden nach Bekanntwerden des oben genannten Sicherheitsvorfalls eine Pr\u00fcfpflicht haben, ob die eigene Azure Tenant-Umgebung, die Dienste oder Azure Anwendungen von diesem Vorfall betroffen sind [3<\/a>].<\/p>\n

Frage 3: Wird diese Pr\u00fcfpflicht von Tenant-Unden vom BfDI aus so gesehen?<\/p>\n

Frage 4: Liegen dem BfDi Meldungen deutscher Kunden \u00fcber eine Kompromittierung aus obigem Fall vor?<\/p>\n

Frage 5: Besitzt das BfDI Kenntnis, ob eine entsprechende Meldung bei einer der Landesdatenschutzaufsichten der Bundesrepublik Deutschland erfolgt ist, und\/oder ob es Meldungen an andere europ\u00e4ische Datenschutzaufsichtsbeh\u00f6rden gegeben hat?<\/p>\n

Frage 6: Wie wertet der Bundesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit den oben genannten Cybersicherheitsvorfall in der Microsoft Cloud?<\/p>\n

Frage 7: Gibt es zwischen dem BfDI und den Datenschutzbeauftragten andere EU-Staaten Gespr\u00e4che in Bezug auf den oben genannten Cybersicherheitsvorfall und wie wird das alles in Bezug auf die DSGVO-Sicherheit beim Cloud-Einsatz gesehen?<\/p><\/blockquote>\n

In meiner Mail habe ich zudem dargelegt, warum ich diese Anfrage als IT-Blogger stelle und habe angek\u00fcndigt, dies auch im Blog zu thematisieren. Zumindest den ersten Teil, die Anfragen, habe ich nun \u00f6ffentlich gemacht. Nun warte ich, ob und was f\u00fcr Antworten ich von Microsoft und dem BfDI erhalte und will diese zu gegebener Zeit hier im Blog aufgreifen.<\/p>\n

PS: Im Grunde kann eigentlich jeder Leser, der irgend ein Konto bei Microsoft hat, bei deren Datenschutzbeauftragten nachfragen, ob er vom Azure AAD-Cloud-Hack betroffen ist. Es k\u00f6nnte zwar auch bei der Datenschutzaufsicht angefragt werden, ob Meldungen vorliegen. Da das die Datenschutzaufsicht \"erden\" w\u00fcrde, wenn hunderte Anfragen eintrudeln, w\u00e4re dies kontraproduktiv. Dieser Part sollte eher \u00fcber Blogs und Medien kanalisiert werden – was ich hiermit zumindest versucht habe.<\/p><\/blockquote>\n

Die Antwort Microsofts<\/h3>\n

Erg\u00e4nzung:<\/strong> Microsoft Irland hand nun geantwortet – die erwartete Standard Wischi-Waschi-Antwort, die in keiner Zeile auf die konkrete Anfrage eingeht.<\/p>\n

Hello,<\/p>\n

Thanks for reaching out. At Microsoft, we take privacy very seriously and appreciate you raising this question.<\/p>\n

For security, privacy, and compliance resources for your organization, please visit our\u00a0Trust Center. There, you can learn more about\u00a0GDPR\u00a0and\u00a0explore our\u00a0compliance offerings. Audit reports, security details, and other compliance-related information is available on the\u00a0Service Trust Portal.<\/p>\n

Additionally, if your subscription includes Premier Support, you may be able to find out additional details based on your specific plan by contacting your Technical Account Manager (TAM).<\/p>\n

You can also call your regional office or submit an email to\u00a0Microsoft Premier Online Customer Service.<\/p>\n

You can find additional guidance and resources about your choices and Microsoft's privacy principles by visiting\u00a0Privacy.Microsoft.com.<\/p>\n

Best Regards,<\/p>\n

Chad
\nMicrosoft Privacy<\/p>\n

Microsoft Corporation
\nOne Microsoft Way
\nRedmond, WA 98052
\nUSA<\/p><\/blockquote>\n

Nur mal zum Mitschreiben: Es war ein klares Auskunftsersuchen, ob meine pers\u00f6nlichen Daten vom Storm-0558 Hack betroffen waren – gerichtet an die Webseite, die Microsoft f\u00fcr DSGVO-Anfragen bereitstellt. Abgespeist wirst Du mit einer Standardantwort mit vielen Links auf MS-Seiten mit Binsenwahrheiten – jetzt wisst ihr, wie Microsoft die Sache seht: Gelacht, gelocht und abgeheftet. Mal sehen, wass das B\u00fcro von Ulrich Kelber so meint.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich greife nochmals das Thema Hack der Microsoft Azure Cloud-Infrastruktur durch die mutma\u00dflich chinesische Gruppe Storm-0558 auf. Microsoft h\u00fcllt sich bez\u00fcglich des Ausma\u00dfes in Schweigen, w\u00e4hrend immer mal wieder neue Opfer bekannt werden. Generell ist es verd\u00e4chtig ruhig um den … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[4375,1171,6932,672,4328],"class_list":["post-285125","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-azure","tag-cloud","tag-dsgvo","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285125"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285125\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}