{"id":291123,"date":"2024-01-27T07:52:49","date_gmt":"2024-01-27T06:52:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291123"},"modified":"2024-01-28T00:03:33","modified_gmt":"2024-01-27T23:03:33","slug":"wie-midnight-blizzard-hacker-in-microsofts-e-mail-system-eindringen-konnten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/27\/wie-midnight-blizzard-hacker-in-microsofts-e-mail-system-eindringen-konnten\/","title":{"rendered":"Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]K\u00fcrzlich wurde bekannt, dass Hacker der staatlichen Gruppe Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen und gezielt Nachrichten von F\u00fchrungskr\u00e4ften oder Sicherheitsexperten mitlesen konnten. Die Hacker waren seit Monaten im System. Nun hat Microsoft offen gelegt, wie es zu diesem Hack kommen konnte. Die Kurzfassung: Das, was man Dritten als \"gute Sicherheitspraxis\" verkauft hat man selbst wohl nicht angewendet.<\/p>\n

<\/p>\n

Der Midnight Blizzard-Hack<\/h2>\n

\"\"Ich hatte zum 20. Januar 2024 im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> \u00fcber den Sachverhalt berichtet. Microsoft ist durch die staatliche russische Hackergruppe Midnight Blizzard, auch als Nobelium bekannt, erfolgreich angegriffen worden. Aufgefallen ist das am 12. Januar 2024, die Hacker waren aber wohl seit November 2023 unerkannt in den Systemen unterwegs und konnten dort E-Mails einsehen und abziehen. Der n\u00e4chste gro\u00dfe Hack nach dem Angriff der chinesischen Gruppe Storm-0558 von Mai bis Juni 2023.<\/p>\n

Microsoft hat den Hack zum 19. Januar 2024 im Beitrag Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard<\/a> \u00f6ffentlich gemacht. Der Angreifer konnte ab Ende November 2023 \u00fcber einen Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto \u00fcbernehmen und von dort auf das gesamte E-Mail-System Microsofts zugreifen. Beim Angriff wurden dann Mails von F\u00fchrungskr\u00e4ften und aus der Rechts- und Sicherheitsabteilung \u00fcber \"Midnight Blizzard\" gesucht und abgezogen.<\/p>\n

Microsoft legt weitere Details offen<\/h2>\n

Ich hatte ja im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> eine Reihe Fragen aufgeworfen. Microsoft konnte diese Angriffe in den Protokolldaten zu identifizieren, indem es die Exchange Web Services (EWS)-Aktivit\u00e4ten \u00fcberpr\u00fcfte und die Audit-Protokollierungsfunktionen auswertete und in Verbindung mit umfassenden Wissen \u00fcber Midnight Blizzard kombinierte. Bereits zum 25. Januar 2024 hat Microsoft den Folgeartikel Midnight Blizzard: Guidance for responders on nation-state attack<\/a>, basierend auf den neuen Erkenntnissen, mit Hinweisen, was man besser machen k\u00f6nnte, ver\u00f6ffentlicht.<\/p>\n

Ich hatte mich gefragt, wie ein Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto m\u00f6glich war, und dort keine Multifaktor-Authentifizierung (MFA) verwendet wurde. Im Beitrag best\u00e4tigte Microsoft, dass kein MFA f\u00fcr das Testkonto aktiviert wurde, etwas, was Redmond seinen Kunden wieder und wieder nahelegt.<\/p>\n

Laut Microsoft hatte dieses Testkonto Zugriff auf eine OAuth-Anwendung, die einen erweitertem Zugriff auf die Unternehmensumgebung von Microsoft gestattete. Konkret nutzte Midnight Blizzard seinen ersten Zugang, um eine \u00e4ltere OAuth-Testanwendung, die \u00fcber einen erweiterten Zugriff auf die Microsoft-Unternehmensumgebung verf\u00fcgte, zu identifizieren und zu kompromittieren. Die Angreifer haben also die Sachverhalte verstanden, w\u00e4hrend diese den Microsoft-Leuten wohl nicht bewusst waren.<\/p>\n

Dies erkl\u00e4rt, warum die Angreifer vom Testkonto auf das Office 365-E-Mail-System von Microsoft Zugriff erhalten konnten. Dieser erweiterte Zugriff erm\u00f6glichte es den Bedrohungsakteuren, weitere OAuth-Anwendungen zu erstellen, um sich Zugang zu anderen Unternehmens-Mailboxen zu verschaffen. Das erinnert mich an den Storm-0558 Hack, wo chinesische Angreifer sich \u00fcber einen erbeuteten Schl\u00fcssel selbst authentifizieren konnten.<\/p>\n

Anschlie\u00dfend erstellen die Angreifer ein neues Benutzerkonto, um den erzeugten OAuth-Anwendungen die Zustimmung zur Zugriff auf Konten in der Microsoft-Unternehmensumgebung zu erteilen. Der Bedrohungsakteur verwendete dann die alte Test-OAuth-Anwendung, um den OAuth-Anwendungen die Office 365 Exchange Online full_access_as_app<\/em>-Rolle zu gew\u00e4hren. Dadurch erhielten die Angreifer den Zugriff auf Postf\u00e4cher und konnten beliebige Mails von Microsoft einsehen.<\/p>\n

Microsoft konnte mit diesem Erkenntnissen \u00e4hnliche Angriffe von Midnight Blizzard auf andere Organisationen erkennen. Dazu hei\u00dft es: \"Anhand der Informationen, die Microsoft bei der Untersuchung von Midnight Blizzard gewonnen hat, hat Microsoft Threat Intelligence festgestellt, dass derselbe Akteur auch andere Organisationen ins Visier genommen hat. Im Rahmen unserer \u00fcblichen Benachrichtigungsprozesse haben wir damit begonnen, diese betroffenen Organisationen zu benachrichtigen<\/em>.\" Hier f\u00e4llt mir sofort mein Artikel Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a> ein, die auch durch Midnight Blizzard gehackt wurden.<\/p>\n

Im Beitrag Midnight Blizzard: Guidance for responders on nation-state attack<\/a> gibt Microsoft dann seinen Kunden Hinweise, wie man sich vor solchen Hacks sch\u00fctzen kann. Bleibt zu hoffen, dass diese Ma\u00dfnahmen nicht nur von Kunden Microsofts, sondern auch intern in Redmond angewandt werden. Denn die Kette der Hacks in diesem Umfeld wird langsam irgendwie peinlich.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nNachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a>
\nMicrosofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a>
\nInterview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud<\/a>
\nMehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a>
\nMicrosoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 1<\/a>
\nAntwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]K\u00fcrzlich wurde bekannt, dass Hacker der staatlichen Gruppe Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen und gezielt Nachrichten von F\u00fchrungskr\u00e4ften oder Sicherheitsexperten mitlesen konnten. Die Hacker waren seit Monaten im System. Nun hat Microsoft offen gelegt, wie es zu diesem Hack … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[259,2564,672,4328],"class_list":["post-291123","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-e-mail","tag-hack","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291123","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291123"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291123\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291123"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291123"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291123"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}