{"id":294418,"date":"2024-04-12T12:32:04","date_gmt":"2024-04-12T10:32:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294418"},"modified":"2024-04-15T06:53:03","modified_gmt":"2024-04-15T04:53:03","slug":"us-behrde-cisa-verdonnert-admins-zur-entschrfung-der-cyberrisiken-der-microsoft-cloud","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/12\/us-behrde-cisa-verdonnert-admins-zur-entschrfung-der-cyberrisiken-der-microsoft-cloud\/","title":{"rendered":"US-Behörde CISA verdonnert Admins zur "Entschärfung der Cyberrisiken" der Microsoft Cloud"},"content":{"rendered":"

[English<\/a>]Die US-Cybersicherheitsbeh\u00f6rde CISA hat die Administratoren von US-Beh\u00f6rden zum 2. April 2024 mittels einer Direktive ultimativ aufgefordert, die Cyberrisiken, die sich durch einen Hack der Microsoft Cloud bzw. des Microsoft E-Mail-Systems durch Midnight Blizzard f\u00fcr Kunden ergeben, bis zum 30. April 2024 zu \"entsch\u00e4rfen\" bzw. zu eliminieren. Hintergrund ist, dass staatliche Akteure beim Hack die E-Mail-Kommunikation zwischen Kunden und Microsoft mitlesen konnten und in diesen Mails wohl auch Sicherheitsinformationen f\u00fcr Kundensysteme enthalten waren.<\/p>\n

<\/p>\n

Hintergrund: Die Microsoft K\u00e4se-Cloud<\/h2>\n

\"\"Die leicht despektierliche \u00dcberschrift resultiert daraus, dass die Microsoft Cloud externen Beobachtern \"wie ein Schweizer K\u00e4se\", mit besonders vielen und gro\u00dfen L\u00f6chern drin, vorkommen muss. Was bei K\u00e4se eine Spezialit\u00e4t darstellt und dem \"Innenleben bei der K\u00e4se-Werdung geschuldet ist\", ist bei einer Cloud nat\u00fcrlich t\u00f6dlich.<\/p>\n

Und bez\u00fcglich Cloud-Sicherheit erweisen sich Microsofts L\u00f6sungen als \"besonderes Fr\u00fcchtchen\". Wir hatten im Mai 2023 den Hack der mutma\u00dflich chinesischen Hackergruppe Storm-0558, die \u00fcber einen gestohlenen AAD-Schl\u00fcssel mittels dann selbst generierter Zugriffstokens f\u00fcr den Zugriff auf Azure AD-Konten (heute Entra ID) generieren und E-Mail-Konten ausspionieren konnten (siehe meinen Artikel GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>).<\/p>\n

Weiterhin gab es seit November 2023 den Fall, dass mutma\u00dflich russische Angreifer der Gruppe Midnight Blizzard \u00fcber ein gehacktes Konto eines Testservers in Microsofts E-Mail-System eindringen und dort gezielt E-Mails von Microsoft F\u00fchrungskr\u00e4ften und der Sicherheitsabteilung mitlesen konnten. Ich hatte u.a. im Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> berichtet. Kurz danach wurde der im Artikel Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a> berichtete Hack von HPE bekannt. Ob es einen Zusammenhang gab, ist bisher unklar.<\/p>\n

Aber es ist inzwischen klar, dass Midnight Blizzard sich bei Microsoft wohl hartn\u00e4ckiger festgesetzt hatte, als von Microsoft eingestanden. Hie\u00df es zuerst \"alles im Griff, wir haben die Zugriffe unterbunden\", musste Microsoft sp\u00e4ter eingestehen, dass Midnight Blizzard wohl weiter die Systeme angegriffen und auch Quellcode gestohlen habe (siehe Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>). Es ist bekannt, dass die Angreifer beliebige Microsoft E-Mail-Konten mitlesen konnten. \u00dcber diese Konten wurde auch mit Kunden kommuniziert und es ist wohl nicht ausgeschlossen, dass dort Informationen \u00fcber Zug\u00e4nge zu Kundensysteme ausgetauscht wurden.<\/p>\n

Seit diesem Zeitpunkt muss die Microsoft-Cloud eigentlich als kompromittiert gelten und Kunden tun gut\u00a0 daran, da zu \u00fcberlegen, was sicherheitstechnisch \u00fcberhaupt noch geht bzw. m\u00f6glich ist. Dass Microsoft immer noch lax mit dem Thema Sicherheit umgeht, ist gerade im Blog-Beitrag Ungesicherter Microsoft Azure Server legt Passw\u00f6rter etc. von Microsoft-Systemen offen (Feb. 2024)<\/a> sowie im Folgeartikel Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passw\u00f6rter)<\/a> hier im Blog angesprochen worden. Im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a> hatte ich \u00fcber \"Absetzbewegungen\" aus der Microsoft-Cloud bei einigen US-Kunden berichtet.<\/p>\n

CISA-Forderung nach \"Entsch\u00e4rfung der Cyberrisiken\"<\/h2>\n

Von der US Cybersecurity & Infrastructure Agency (CISA) ist zum 2. April 2024 nun die Emergency Directive ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System<\/a> ver\u00f6ffentlicht worden, die als eine Art Brandbrief zu interpretieren ist. Die CISA bezieht sich auf den oben erw\u00e4hnten, erfolgreichen Cyberangriff durch die russischen Hacker (Midnight Blizzard), die Microsoft-Unternehmens-E-Mail-Konten erfolgreich infiltrieren und die E-Mail-Korrespondenz zwischen Beh\u00f6rden der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB) und Microsoft mitlesen konnten.<\/p>\n

In der CISA-Direktive hei\u00dft es, dass der Bedrohungsakteur Informationen nutzt, die urspr\u00fcnglich aus den E-Mail-Systemen des Unternehmens Microsoft exfiltriert wurden, um sich zus\u00e4tzlichen Zugang zu Microsoft-Kundensystemen zu verschaffen bzw. zu versuchen, sich diesen zu verschaffen. Zu den abgezogenen Daten geh\u00f6ren laut CISA auch Authentifizierungsdaten, die zwischen Microsoft-Kunden und Microsoft per E-Mail ausgetauscht wurden.<\/p>\n

Nach Angaben von Microsoft hat Midnight Blizzard das Volumen einiger Aspekte der Einbruchskampagne, wie z. B. Passwort-Sprays, im Februar um das Zehnfache erh\u00f6ht, verglichen mit dem bereits hohen Volumen im Januar 2024. Auf diesen Umstand hatte ich im Beitrag Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a> bereits hingewiesen.<\/p>\n

F\u00fcr die CISA stellt die erfolgreiche Kompromittierung von Microsoft-Unternehmens-E-Mail-Konten durch Midnight Blizzard und die Exfiltrierung der Korrespondenz zwischen Beh\u00f6rden und Microsoft ein ernstes und inakzeptables Risiko f\u00fcr US-Beh\u00f6rden dar. In der im April 2024 ver\u00f6ffentlichten Notfallrichtlinie verlangt die CISA von den betroffenen US-Beh\u00f6rden, den Inhalt der exfiltrierten E-Mails zu analysieren, kompromittierte Anmeldedaten zur\u00fcckzusetzen und zus\u00e4tzliche Schritte zu unternehmen, um sicherzustellen, dass die Authentifizierungswerkzeuge f\u00fcr privilegierte Microsoft Azure-Konten sicher sind.<\/p>\n

Microsoft und die CISA haben alle Bundesbeh\u00f6rden benachrichtigt, deren E-Mail-Korrespondenz mit Microsoft als von Midnight Blizzard exfiltriert identifiziert wurde. Auf die Administratoren dieser Systeme kommt also eine Menge Arbeit zu, da bei gro\u00dfen Beh\u00f6rden ggf. sehr viele Mails zwischen Microsoft und der IT oder den Mitarbeitern ausgetauscht wurden und sehr viel zu \u00fcberpr\u00fcfen ist. Riecht irgendwie nach \"Sicherheits-GAU\", vor allem, weil niemand sagen kann, ob er vielleicht unerkannt kompromittiert wurde.<\/p>\n

Betroffene Beh\u00f6rden, die von Microsoft E-Mail-Metadaten erhalten, die bekannten oder vermuteten Kompromittierungen der Authentifizierung entsprechen, oder die Kenntnis von spezifischen Details solcher Kompromittierungen erhalten, m\u00fcssen sofort reagieren, und Abhilfema\u00dfnahmen f\u00fcr Token, Passw\u00f6rter, API-Schl\u00fcssel oder andere Authentifizierungsdaten, von denen bekannt ist oder vermutet wird, dass sie kompromittiert wurden, ergreifen. F\u00fcr alle bekannten oder vermuteten Authentifizierungskompromittierungen, die durch obige Ma\u00dfnahme identifiziert wurden, sind bis zum 30. April 2024 folgende Ma\u00dfnahmen zu ergreifen:<\/p>\n