{"id":294415,"date":"2024-04-12T10:18:25","date_gmt":"2024-04-12T08:18:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294415"},"modified":"2024-04-12T10:18:25","modified_gmt":"2024-04-12T08:18:25","slug":"neue-insights-zum-ungesicherten-microsoft-azure-server-mit-bing-secrets-code-scripte-passwrter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/12\/neue-insights-zum-ungesicherten-microsoft-azure-server-mit-bing-secrets-code-scripte-passwrter\/","title":{"rendered":"Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter)"},"content":{"rendered":"

\"SicherheitKleiner Nachtrag zum aktuellen Sicherheitsvorfall bei Microsoft, wo ein Azure-Server aus dem Bing-Produktbereich wohl ungesch\u00fctzt per Internet erreichbar war und dabei Interna wie Quellcodes, Script-Dateien samt Hinweisen auf benutzte Speicherorte sowie die zum Zugriff ben\u00f6tigten Passw\u00f6rter abgelegt wurden. Microsoft wiegelt ab, aber meinen Informationen nach, sind immer noch Teile dieser Informationen offen abrufbar. Erinnert mich an die F\u00e4lle, wo \"nur Microsoft Test-Server\" gehackt und zur Ausweitung von Angriffen auf die Microsoft Infrastruktur ausgenutzt wurden.<\/p>\n

<\/p>\n

Der Microsoft Azure Server-Fail<\/h2>\n

\"\"Sicherheitsforscher von SOCRadar, die das Internet standardm\u00e4\u00dfig nach ungesch\u00fctzten (also offen zugreifbaren) Servern durchforsten, sind im Februar 2024 auf eine ungesch\u00fctzte Azure Server-Instanz gesto\u00dfen, die sich wohl Microsoft und dem Bing-Gesch\u00e4ftszweig zuordnen lie\u00df. Das Ganze schein eine Art File-Server (als Storage Server bezeichnet) zu sein, auf der Microsofts Entwickler Dateien f\u00fcr den internen Gebrauch ablegen k\u00f6nnen. <\/p>\n

Da der Zugriff nicht durch ein Passwort gesch\u00fctzt und die Instanz frei per Internet erreichbar ist, konnten unbefugte Dritte auf die dort gespeicherten Daten zugreifen. Bei der Durchmusterung der zugreifbaren Dateien fiel den Sicherheitsforschern auf, dass der Azure-Storage-Server Code, Skripte und Konfigurationsdateien mit Passw\u00f6rtern, Schl\u00fcsseln und Anmeldedaten enthielt, die von den Microsoft-Mitarbeitern f\u00fcr den Zugriff auf andere interne Datenbanken und Systeme verwendet wurden.<\/p>\n

Das ist zumindest mal unflott, und so wurde die Entdeckung am 6. Februar 2024 an Microsofts MSRC (Microsoft Security Response Center) gemeldet. Anfang M\u00e4rz 2024 sollen das \"Leck best\u00e4tigt\" und erste Ma\u00dfnahmen eingeleitet worden sein. Ich hatte im Blog-Beitrag Ungesicherter Microsoft Azure Server legt Passw\u00f6rter etc. von Microsoft-Systemen offen (Feb. 2024)<\/a> \u00fcber diesen Sachverhalt berichtet, wobei sich dort eine \"merkw\u00fcrdige Situation\" heraus kristallisiert. <\/p>\n

\"Can<\/a><\/p>\n

Einzige Quelle der Erstmeldung ist dieser Techcrunch-Artikel<\/a>. Hintergrund ist, dass die Sicherheitsforscher Can Yoleri, Murat \u00d6zfidan und Egemen Ko\u00e7hisarl\u0131 von SOCradar die Techcrunch-Redaktion \u00fcber ihren Fund informiert hatten. Aber meine Suche im Internet ergab keinerlei Blog-Beitr\u00e4ge von SOCradar oder einem der Sicherheitsforscher. Von dem in der T\u00fcrkei f\u00fcr SOCradar arbeitenden Can Yoleri gibt es nur obigen Tweet, der auf den Techcrunch-Beitrag verlinkt und zwei von ihnen aufgedeckte Sicherheitsl\u00fccken bei Cloud-Speichern thematisiert (neben obigem Microsoft-Fall war auch BMW durch ein solches Leck betroffen<\/a>. <\/p>\n

Microsofts Stellungnahme: Abwiegelnd<\/h3>\n

Mir ging sogar kurz der Gedanke \"kann es Fake sein\" durch den Kopf. Aber Techcrunch ist als seri\u00f6s einzustufen. Bis zur Ver\u00f6ffentlichung des Beitrags hatte Microsoft nicht auf eine Anfrage von Techcrunch reagiert. Inzwischen hat Microsoft aber wohl reagiert und Sprecher Jeff Jones gab gegen\u00fcber Techcrunch folgende Stellungnahme ab.<\/p>\n

\n

Obwohl die Anmeldedaten nicht h\u00e4tten offengelegt werden d\u00fcrfen, waren sie nur vor\u00fcbergehend und nur von internen Netzwerken aus zug\u00e4nglich und wurden nach dem Test deaktiviert. Wir danken unseren Partnern f\u00fcr die verantwortungsvolle Meldung dieses Problems.<\/p>\n<\/blockquote>\n

H\u00f6rt sich unproblematisch an, die Daten waren nur vor\u00fcbergehend und nur von internen Netzwerken aus zug\u00e4nglich. Und \u00fcberhaupt, es sind Testdaten, die nach den Tests deaktiviert wurden, so die Botschaft. Nix passiert, gehen sie weiter. Bei mir zuckte es dann vernehmlich, da die \"nur von internen Netzwerken aus zug\u00e4nglich\"-Botschaft schlicht nicht stimmen kann, wenn die SOCradar-Leute per Internet auf die Daten zugreifen konnten. <\/p>\n

Und zum Thema \"nach dem Test deaktiviert\" gehen mir zwei Gedanken durch den Kopf. War da nicht was, dass ein Test-Server von Midnight Blizzard gekapert und f\u00fcr den Zugriff auf Microsofts E-Mail-System genutzt wurde? Details lassen sich im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> und weiteren Beitr\u00e4gen, die am Artikelende verlinkt sind, nachlesen. <\/p>\n

Und bei dem im Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> aufgegriffenen Vorfall wurde von den Angreifern ein privater, angeblich nicht mehr in Benutzung befindlicher und abgelaufener AAD-Schl\u00fcssel zum Generieren von Tokens zum Zugriff auf Azure-Konten missbraucht. So viel zu \"werden nach Tests deaktiviert\". <\/p>\n

Jemand mit ein wenig Verstand w\u00fcrde da vorsichtiger agieren und vielleicht sagen \"wir pr\u00fcfen noch die Auswirkungen\". Denn mal Hand auf's Herz: Wer kann ad-hoc sagen \"alle auf meiner Festplatte gespeicherten Dateien enthalten keine Passw\u00f6rter oder Tokens, die missbraucht wurden\". Bei einem Dutzend Dateien mag das vielleicht noch klappen, aber hunderten wird es aber schwierig und bei Tausenden unm\u00f6glich!<\/p>\n

Can Yoleri spricht mit heise<\/h2>\n

An dieser Stelle m\u00f6chte ich nun etwas nachtragen, was ich bereits zeitnah in meinem englischsprachigen Blog-Beitrag Unsecured Microsoft Azure Server exposes passwords etc. of Microsoft systems (Feb. 2024)<\/a> aufgegriffen habe (normalerweise ist mein deutschsprachiger IT-Blog aktueller). Can Yoleri ist Sicherheitsforscher bei der t\u00fcrkischen Niederlassung des Sicherheitsunternehmens SOCradar. Nach Ver\u00f6ffentlichung des Techcrunch-Artikels und meines deutschsprachigen Beitrags hat Yoleri mit heise Security gesprochen und weitere Details<\/a> verraten.<\/p>\n

Er ist beim routinem\u00e4\u00dfigen internetweiten Scan auf einen ungesch\u00fctzten Bereich im Azure Blob Storage gesto\u00dfen. Dort fand er \u00fcber eine Million Dateien (1.138.558 Dateien)  in verschiedenen Formaten. Und nun vergleicht meine obigen Ausf\u00fchrungen zu Microsofts Stellungnahme, dass alle sensitiven Daten nach den Tests ge\u00e4ndert oder deaktiviert w\u00fcrden. Halte ich f\u00fcr eine absolut windige Aussage, die aber in Microsofts Schema \"beschwichtigen und herunterspielen\" passt. <\/p>\n

Yoleri gab gegen\u00fcber heise Security an, dass er in den Dateien Quellcode, geschrieben von in verschiedenen Windows-Skriptsprachen von BAT bis PowerShell , JSON- und Excel-Dateien sowie Quellcode in anderen Formaten gefunden habe. In den Dateien fanden sich auch Zugangsdaten zu Datenbanken und gesch\u00fctzten APIs nicht nur in daf\u00fcr vorgesehenen Konfigurationsdateien, sondern oft auch hart kodiert im Quellcode, zum Beispiel in Python-Skripten, die der Redaktion in Ausz\u00fcgen zur Verf\u00fcgung gestellt wurden. Benutzernamen und Passw\u00f6rter wurden auch in Batchdateien gefunden, etwa in solchen, die den Zugriff auf eine Microsoft-interne Docker-Container-Registry erm\u00f6glichen.<\/p>\n

Fairerweise muss man eingestehen, dass unklar ist, ob Dritte Zugriff hatten und wie sensitiv diese Informationen am Ende des Tages wirklich sind. Man k\u00f6nnte \"den GAU\" an die Wand malen – mir f\u00e4llt \"der Teufel ist ein Eichh\u00f6rnchen\" dazu ein und die hier skizzierten F\u00e4lle zu Storm-0558 sowie Midnight Blizzard best\u00e4tigen das. <\/p>\n

Ach ja, ein Nachtrag h\u00e4tte ich noch. Nachdem der Sicherheitsforscher von SOCradar das MSRC (Microsoft Security Response Center) Anfang Februar 2024 kontaktiert hat, wurde das Datenleck Anfang M\u00e4rz 2024 best\u00e4tigt. Die SOCradar-Sicherheitsforscher warten aber noch auf eine offizielle Best\u00e4tigung auf der Microsofts Sicherheitsseite. Und heise Security zitiert den Sicherheitsforscher Yoleri, dass die ungesicherte Azure Blob Storage Instanz immer noch online sei. Microsoft habe wohl nur die brisantesten Informationen aus der Instanz gel\u00f6scht. Yoleri sieht aber weiterhin Handlungsbedarf durch Microsoft. <\/p>\n

Was bleibt?<\/h2>\n

Wenn ich mir die Stellungnahmen Microsofts durchlesen und an dem spiegele, was ich die letzten 12 Monate so an Sicherheitsvorf\u00e4llen berichtet habe, bleibt mir bildlich \"die Spucke weg\" und ich bin etwas fassungslos. Man kann es nat\u00fcrlich auch – mit dem von Microsoft offenbar adaptierten – alten K\u00f6lsche Grundgesetz<\/a> halten: \u00a71: Es es wie et es;  \u00a7 2 – Et k\u00fctt wie et k\u00fctt und \u00a7 3 – Et h\u00e4tt noch immer jot jejange<\/em>. Der Nicht-Rheinl\u00e4ndern pflegt dann bei \"Incidents\" die Stellungnahme \"da kann man gar nichts machen, trotz bester Ma\u00dfnahmen und modernstem Schlangen\u00f6l sind wir, wie viele Andere auch, Opfer von T\u00e4tern mit besonders krimineller Energie geworden\" herauszugeben.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>
Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
Midnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a>
R\u00fcffel f\u00fcr Microsoft: Kaskade an Fehlern f\u00fcr Storm-0558 Cloud-Hack verantwortlich<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Kleiner Nachtrag zum aktuellen Sicherheitsvorfall bei Microsoft, wo ein Azure-Server aus dem Bing-Produktbereich wohl ungesch\u00fctzt per Internet erreichbar war und dabei Interna wie Quellcodes, Script-Dateien samt Hinweisen auf benutzte Speicherorte sowie die zum Zugriff ben\u00f6tigten Passw\u00f6rter abgelegt wurden. Microsoft wiegelt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-294415","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294415","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294415"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294415\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294415"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294415"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294415"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}