{"id":294210,"date":"2024-04-10T02:02:09","date_gmt":"2024-04-10T00:02:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294210"},"modified":"2024-04-12T10:26:29","modified_gmt":"2024-04-12T08:26:29","slug":"ungesicherter-microsoft-azure-server-legt-passwrter-etc-von-microsoft-systemen-offen-feb-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/10\/ungesicherter-microsoft-azure-server-legt-passwrter-etc-von-microsoft-systemen-offen-feb-2024\/","title":{"rendered":"Ungesicherter Microsoft Azure Server legt Passwörter etc. von Microsoft-Systemen offen (Feb. 2024)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es ist mal wieder eines der Microsoft \"Opsies\" passiert. Sicherheitsforscher sind auf Microsoft Azure auf einen ungesicherten Storage-Server gesto\u00dfen, auf dem interne Informationen \u00fcber die Suchmaschine Bing von Microsoft gespeichert waren. Nun gut, auf dem frei von Jedermann abrufbaren Storage-Server lag nur so unwichtiges Zeug von Microsoft Mitarbeitern wie Code, Skripte und Konfigurationsdateien mit Passw\u00f6rtern, Schl\u00fcsseln und Anmeldedaten f\u00fcr den Zugriff auf andere Microsoft Datenbanken und Systeme.<\/p>\n

<\/p>\n

\"\"SOCRadar ist ein Sicherheitsanbieter, welches Firmen dabei hilft, Sicherheitsl\u00fccken und Fehlkonfigurationen aufzusp\u00fcren, scannt regelm\u00e4\u00dfig das Internet nach ungesch\u00fctzten Servern. Die Sicherheitsforscher Can Yoleri, Murat \u00d6zfidan und Egemen Ko\u00e7hisarl\u0131 von SOCRadar haben bei einer solchen Suche im Internet einen von Microsoft auf Azure gehosteten Storage-Server entdeckt, der \u00f6ffentlich durch Dritte zugreifbar war. Als die Sicherheitsforscher genauer nachschauten, staunten sie nicht schlecht, wie sie Techcrunch verrieten<\/a>.<\/p>\n

Ungesch\u00fctzter Microsoft Azure Storage-Server<\/h2>\n

Der Server enthielt zwar auf den ersten Blick nur interne Informationen im Zusammenhang mit der Suchmaschine Bing von Microsoft. Da dieser Server aber nicht durch ein Passwort gesch\u00fctzt war und von jedem Interessierten \u00fcber das Internet erreicht werden konnte, schauten die Sicherheitsforscher genauer hin. Der Azure-Storage-Server enthielt Code, Skripte und Konfigurationsdateien mit Passw\u00f6rtern, Schl\u00fcsseln und Anmeldedaten, die von den Microsoft-Mitarbeitern f\u00fcr den Zugriff auf andere interne Datenbanken und Systeme verwendet wurden.<\/p>\n

Techcrunch schreibt, dass die Sicherheitsforscher Microsoft am 6. Februar 2024 \u00fcber die Sicherheitsl\u00fccke informierten. Muss wohl ein Honeypot gewesen sein, denn Microsoft sicherte diesen Server am 5. M\u00e4rz 2024 – oder der Wahlspruch lautete \"Gut Ding will Weile haben\". Aktuell ist unbekannt, wie lange der Cloud-Server frei im Internet erreichbar war oder Dritte abseits der SOCRadar-Sicherheitsforscher Zugriff auf diese Daten hatte.<\/p>\n

Bei der Recherche habe ich gesehen, dass SOCRadar bereits im September 2022 einen Fall aufgedeckt<\/a> hatte, wo durch eine Server-Fehlkonfiguration m\u00f6glicherweise Kundendaten offen gelegt wurden. Microsoft hatte dazu in diesem Beitrag<\/a> Stellung bezogen und beklagt, dass SOCRadar die Informationen offen gelegt habe. Und dann gab es 2023 noch den von SOCRadar aufgedeckten Fall<\/a>, bei dem 38 Terabyte an Daten offen gelegt wurden – ich hatte im September 2023 im Beitrag Datenleck: Microsoft AI-Forscher verlieren 38 TByte an internen Daten \u00fcber GitHub\/Azure Cloud-Speicher<\/a> berichtet. B\u00f6se Zungen meinen schon, Microsoft m\u00fcsse den Begriff \"Open Data<\/a>\" falsch verstanden haben.<\/p><\/blockquote>\n

Microsoft schweigt zum neuen Fail<\/h2>\n

Gut, niemand ist gegen eine Schwachstelle oder einen Konfigurationsfehler gefeit. Aber bei Microsoft sind solche \"Fehler\" inzwischen wohl an der Tagesordnung. Im Juli 2023 wurde bekannt, dass mutma\u00dflich chinesische Hacker der Gruppe Storm-0558 einen Microsoft-Konto (MSA)-Kundenschl\u00fcssel erbeutete hatten und mittels dieses Schl\u00fcssels Tokens zum Zugriff auf Azure-Cloud-Konten generieren konnten. Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> berichtet und den Fall in weiteren Blog-Beitr\u00e4gen nachgezeichnet. Bis heute wei\u00df Microsoft nicht, wie die Hacker an den (MSA)-Kundenschl\u00fcssel heran kamen.<\/p>\n

Im Januar 2024 wurde bekannt, dass die mutma\u00dflich russische Hackergruppe Midnight Blizzard seit November 2023 ein Konto auf einem Testsystem durch Password-Spraying-Angriffe knacken konnten. \u00dcber dieses Konto gelang es, vom Testsystem auf das interne Mail-System von Microsoft zuzugreifen und die Mails von F\u00fchrungskr\u00e4ften sowie weiteren Mitarbeitern mit zu lesen (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>).<\/p>\n

Dabei m\u00fcssen auch Kennw\u00f6rter und andere vertrauliche Informationen abgegriffen worden sein. Denn Microsoft musste eingestehen, dass die Hacker von Midnight Blizzard Zugriff auf Quellcodes von Microsoft hatten und auch nach der Entdeckung und angeblicher Aussperrung wohl weiterhin Zugriff auf die Systeme hatten oder diesen versuchten (siehe Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>).<\/p>\n

Der oben skizzierte Vorfall ist da nur das T\u00fcpfelchen auf dem i, das best\u00e4tigt, dass Microsoft ein \"schlamperter Laden ist\", um den man besser einen gro\u00dfen Bogen machen sollte. Gut, war jetzt unfaire Dialektik – aber es ist h\u00f6chst offiziell: Das US Cyber Safety Review Board wurde auf Grund des Storm-0558 Hacks aufgescheucht und hat eine Untersuchung des Sicherheitsvorfalls durchgef\u00fchrt. Der vor wenigen Tagen ver\u00f6ffentlichte Bericht offenbart, dass Microsoft die Sicherheit nicht im Griff hat und eine Kette von Fehlern den Storm-0558 Cloud-Hack erst erm\u00f6glichten (siehe R\u00fcffel f\u00fcr Microsoft: Kaskade an Fehlern f\u00fcr Storm-0558 Cloud-Hack verantwortlich<\/a>). Die Empfehlung an Microsoft lautete, den eigenen Laden erst einmal auf Vordermann zu bringen, bevor man an neue Entwicklungen geht. Mir geht da das halbfertige Copilot durch den Kopf, der als neue Sau durchs Dorf getrieben wird.<\/p>\n

Gegen\u00fcber TechCrunch gab SOCRadar Sicherheitsforscher Yoleri zu bedenken, dass die bei diesem Vorfall offengelegten Daten b\u00f6swilligen Akteuren dabei helfen k\u00f6nnten, andere Systeme auf denen Microsoft seine internen Dateien speichert, anzugreifen. Die Identifizierung dieser Speicherorte \"k\u00f6nnte zu gr\u00f6\u00dferen Datenlecks f\u00fchren und m\u00f6glicherweise die genutzten Dienste gef\u00e4hrden\", so Yoleri. Techcrunch hatte bei Microsoft um eine Stellungnahme gebeten. Aber Microsoft schweigt bisher – auch eine altbekannte Taktik aus Redmond, die im Bericht des US Cyber Safety Review Board explizit ger\u00fcgt wurde. Aber wie pflegen unsere hochdotierten Entscheidungstr\u00e4ger zu argumentieren: \"Das Ganze ist doch alternativlos – und Millionen Fliegen k\u00f6nnen nicht irren, auch wenn sie auf Schei\u00dfe landen.\" In den USA scheinen aber erste K\u00f6pfe aufzuwachen, wie ich im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a> erw\u00e4hnt habe. Es wird noch spannend, wir bleiben dran.<\/p>\n

Erg\u00e4nzung: Es gibt einen Folgeartikel\u00a0Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passw\u00f6rter)<\/a><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nHewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a>
\nR\u00fcffel f\u00fcr Microsoft: Kaskade an Fehlern f\u00fcr Storm-0558 Cloud-Hack verantwortlich<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist mal wieder eines der Microsoft \"Opsies\" passiert. Sicherheitsforscher sind auf Microsoft Azure auf einen ungesicherten Storage-Server gesto\u00dfen, auf dem interne Informationen \u00fcber die Suchmaschine Bing von Microsoft gespeichert waren. Nun gut, auf dem frei von Jedermann abrufbaren Storage-Server … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-294210","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294210"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294210\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}