{"id":294015,"date":"2024-04-03T12:42:02","date_gmt":"2024-04-03T10:42:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294015"},"modified":"2024-04-03T19:11:14","modified_gmt":"2024-04-03T17:11:14","slug":"rffel-fr-microsoft-kaskade-an-fehlern-fr-storm-0558-cloud-hack-verantwortlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/03\/rffel-fr-microsoft-kaskade-an-fehlern-fr-storm-0558-cloud-hack-verantwortlich\/","title":{"rendered":"Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich"},"content":{"rendered":"

\"Stop[English<\/a>]Das US Cyber Safety Review Board hat nun seinen Bericht zum Hack von Microsoft Online Exchange im Sommer 2023 durch die mutma\u00dflich chinesische Gruppe Storm-0558 ver\u00f6ffentlich. Das Fazit der Kommission: Microsoft kann keine Sicherheit! Und schon gar nicht in der eigenen Cloud. Eine \"Kaskade\" von Fehlern, begangen von Microsofts bzw. dessen Mitarbeitern, ist f\u00fcr den Hack der Microsoft Cloud und der Microsoft Online Exchange-Konten verantwortlich.<\/p>\n

<\/p>\n

Desaster Storm-0558 Hack<\/h2>\n

\"\"Im Mai 2023 wurden Exchange Online- und Outlook-Konten durch die mutma\u00dflich chinesische Hackergruppe Storm-0558 gehackt. Die Angreifer waren in der Lage, auf beliebige Konten in Exchange Online oder Outlook zuzugreifen. Entdeckt wurde der Hack von einem Kunden (US-Au\u00dfenministerium), nachdem diesem ungew\u00f6hnliche Zugriffe auf Konten aufgefallen waren.<\/p>\n

Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> berichtet. Der Hack wurde von Microsoft zum 11. Juli 2023 im Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email<\/a> bekannt gegeben. Der Hack wurde durch eine unglaubliche Kette von Fehlern \u00fcber einen geklauten AAD-Schl\u00fcssel erm\u00f6glicht (siehe mein Beitrag GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>).<\/p>\n

Seinerzeit hat das heftig in den USA gerappelt – deutsche Datensch\u00fctzer und Beh\u00f6rden wollten wenig vom Fall wissen (wie ich feststellen durfte, als ich Datenschutzbeh\u00f6rden wegen offener Fragen kontaktierte). In den USA f\u00fchrte das zu einer Untersuchung durch die Beh\u00f6rden (siehe mein Beitrag Microsofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>).<\/p>\n

Bericht des US Cyber Safety Review Board<\/h2>\n

Nun hat das US Cyber Safety Review Board seinen Abschlussbericht des Falls vorgelegt, der einer heftigen Klatsche f\u00fcr Microsoft gleich kommt. Kevin Beaumont weist in folgendem Post<\/a> auf den Sachverhalt hin. Die CISA hat hier einige Zeilen<\/a> ver\u00f6ffentlicht. Den Bericht als PDF (34 Seiten lang), kann man hier herunterladen<\/a>.<\/p>\n

\"Bericht<\/p>\n

Die Zusammenfassung lautet: Dass das Eindringen von Storm-0558, einer Hackergruppe, die als mit der Volksrepublik China verbunden eingesch\u00e4tzt wird, vermeidbar gewesen w\u00e4re. Das Board identifizierte eine Reihe operativer und strategischer Entscheidungen von Microsoft, die auf eine Unternehmenskultur hindeuten, die Investitionen in die Unternehmenssicherheit und ein rigoroses Risikomanagement vernachl\u00e4ssigt.<\/p>\n

Da stehe\u00a0 im Widerspruch zur zentralen Stellung des Unternehmens im Technologie-\u00d6kosystem und dem Vertrauen steht, das die Kunden in das Unternehmen hinsichtlich des Schutzes ihrer Daten und Abl\u00e4ufe setzen. Der Hack und das Eindringen in die Microsoft Exchange Online-Postf\u00e4cher von 22 Organisationen und mehr als 500 Einzelpersonen weltweit war \"vermeidbar\" und \"h\u00e4tte niemals stattfinden d\u00fcrfen\", so die Schlussfolgerung des Berichts. Und besonders besorgniserregend sei, dass Microsoft immer noch nicht wisse, wie die Angreifer den Angriff durchgef\u00fchrt haben.<\/p>\n

Kritisiert werden auch die ungenauen \u00f6ffentlichen Erkl\u00e4rungen von Microsoft zu diesem Vorfall und der Umstand, dass die Informationen nicht rechtzeitig, sondern erst auf mehrfache Nachfrage des Ausschusses, korrigiert wurde. So war von Microsoft ein Crash-Dump mit einem privaten Schl\u00fcssel als Ursache f\u00fcr den Zugriff der Hacker genannt worden (siehe mein Beitrag Microsofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a>). Nun gibt das Microsoft Security Response Center in einem Update des Berichts zu, dass \"man keinen Crash Dump gefunden habe, der das betroffene Schl\u00fcsselmaterial enth\u00e4lt\".<\/p>\n

Hinzu kommt der im Januar 2024 \u00f6ffentlich gewordene Hack durch die mutma\u00dflich russische Hackergruppe Midnight Blizzard (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>) und das Eingest\u00e4ndnis Microsofts, dass die Hacker auch nach der Entdeckung wohl weiter im Netzwerk unterwegs waren und sogar auf Quellcodes zugreifen konnten (siehe Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>).<\/p>\n

Der Vorstand der Untersuchungskommission empfiehlt Microsoft, einen Plan mit konkreten Zeitvorgaben f\u00fcr grundlegende, sicherheitsorientierte Reformen im gesamten Unternehmen und seiner Produktpalette zu entwickeln und \u00f6ffentlich zu machen. Microsoft hat bei der \u00dcberpr\u00fcfung durch das Board voll kooperiert, hei\u00dft es. US-Medien wie Washington Post<\/a> oder AP<\/a> haben sich auf das Thema gest\u00fcrzt und zerpfl\u00fccken Microsoft regelrecht. In den USA haben erste Beh\u00f6rden und Gro\u00dfkunden bereits mit der Abkehr von Microsoft begonnen (hatte ich im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a> angedeutet).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nNachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a>
\nMicrosofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a>
\nInterview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud<\/a>
\nMehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a>
\nStorm-0558 Hack: Microsoft hat Purview Audit generell f\u00fcr US-Beh\u00f6rden seit Feb. 2024 freigegeben<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 1<\/a>
\nAntwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 2<\/a><\/p>\n

Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nHewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das US Cyber Safety Review Board hat nun seinen Bericht zum Hack von Microsoft Online Exchange im Sommer 2023 durch die mutma\u00dflich chinesische Gruppe Storm-0558 ver\u00f6ffentlich. Das Fazit der Kommission: Microsoft kann keine Sicherheit! Und schon gar nicht in der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,672,4328],"class_list":["post-294015","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294015","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294015"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294015\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294015"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294015"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294015"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}