{"id":296292,"date":"2024-06-14T02:18:10","date_gmt":"2024-06-14T00:18:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296292"},"modified":"2024-06-15T14:14:02","modified_gmt":"2024-06-15T12:14:02","slug":"whistleblower-microsoft-ignorierte-warnungen-vor-ad-bug-wurde-2020-bei-solarwinds-hack-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/14\/whistleblower-microsoft-ignorierte-warnungen-vor-ad-bug-wurde-2020-bei-solarwinds-hack-ausgenutzt\/","title":{"rendered":"Whistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Bei Microsoft hat Sicherheit seit Jahren Priorit\u00e4t, wissen wir alle. Und jedes Windows ist das beste und sicherste Windows aller Zeiten. Whistleblower und Ex-Mitarbeiter Andrew Harris sagt, dass Microsoft jahrelang seine Warnungen vor einem Azure Active Directory-Fehler ignoriert habe. Im Jahr 2020 verlie\u00df Harris das Unternehmen, und im Jahr 2020 kam es wohl \u00fcber diese Schwachstelle zum SolarWinds-Hack. Bei Microsoft gehen Features und Gimmicks halt \u00fcber Sicherheit. Es sind schwere Anschuldigungen, die aber plausibel klingen.<\/p>\n

<\/p>\n

Ein Cybervorfall 2016<\/h2>\n

\"\"Der Ex-Mitarbeiter Andrew Harris war von Microsoft wegen seiner au\u00dfergew\u00f6hnlichen F\u00e4higkeit, Hacker aus den sensibelsten Computernetzwerken der USA herauszuhalten, eingestellt worden. Vor seiner T\u00e4tigkeit bei Microsoft war Harris f\u00fcr das US-Verteidigungsministerium t\u00e4tig. Im Jahr 2016 es gab einen r\u00e4tselhaften Vorfall, bei dem Eindringlinge irgendwie in ein gro\u00dfes amerikanisches Technologieunternehmen eingedrungen waren. Harris untersucht das Ganze und machte eine beunruhigende Entdeckung.<\/p>\n

Die Angreifer waren in Microsofts Cloud eingedrungen und hatten dabei kaum Spuren hinterlassen – es war also etwas im Busch. Harris fokussierte sich bei seinen Untersuchungen des Hack auf die Anwendung zur Anmeldung an der Cloud. Dort entdeckte er eine Schwachstelle, die es Angreifern erm\u00f6glichte, sich als legitime Benutzer auszugeben und auf alle Daten des jeweiligen Benutzerkontos zuzugreifen. Ein Sicherheitsalbtraum, jeder, der die Software nutzte, war gef\u00e4hrdet. Das sei unabh\u00e4ngig davon gewesen, ob das Opfer Microsoft oder einen anderen Cloud-Anbieter wie Amazon nutzte, hie\u00df es.<\/p>\n

Warnung vor Schwachstelle<\/h2>\n

Harris erkannt das Problem und machte sich Sorgen um die Sicherheit der US-Regierung und des Landes. Daher wies er seine Kollegen bei Microsoft auf das Problem hin. Denn die Anwendung, mit der sich Millionen Nutzer anmelden, wies eine Schwachstelle (meiner Lesart nach im Azure Active Directory – heute als Entra ID vermarket) auf.<\/p>\n

\"Microsoft<\/a><\/p>\n

Propublica, die das Ganze im Blog-Beitrag Microsoft Chose Profit Over Security and Left U.S. Government Vulnerable to Russian Hack, Whistleblower Says<\/a> \u00f6ffentlich machte, schreibt, dass die Kollegen von Harris bei Microsoft das \"Problem \" das ein wenig anders sahen. Die US-Regierung war gerade dabei, massiv in das Cloud Computing einzusteigen. Microsoft bef\u00fcrchtet, dass das Eingest\u00e4ndnis dieser Sicherheitsl\u00fccke die Chancen des Unternehmens f\u00fcr einen Deal gef\u00e4hrden k\u00f6nnte. So wurde es Harris jedenfalls von einem Microsoft-Produktmanager gesagt.<\/p>\n

Harris wurden die finanziellen Folgen eines geplatzten Deals vor Augen gef\u00fchrt – der Verlust eine mehrere Milliarden schweren Gesch\u00e4fts drohte, und es wurde thematisiert, dass Microsoft beim Ratten-Rennen um die Cloud-Marktanteile zur\u00fcckzufallen drohte. Die Schwachstelle wurde also nicht publik, und Harris versuchte laut eigener Aussage in den Folgejahren vergeblich, Microsoft zum Beheben der Schwachstelle zu bewegen. Die Microsoft-Verantwortlichen wiesen die Warnungen stets zur\u00fcck und sagten, man w\u00fcrde an einer langfristigen Alternative arbeiten.<\/p>\n

Der Microsoft Cloud-Dienste blieb in der Zwischenzeit weltweit anf\u00e4llig f\u00fcr Angriffe. Harris war sich sicher, dass irgendwann jemand herausfinden w\u00fcrde, wie man die Schwachstelle ausnutzen k\u00f6nnte. Er hatte zwar eine tempor\u00e4re L\u00f6sung zur Abschw\u00e4chung der Schwachstelle gefunden. Aber daf\u00fcr h\u00e4tten die Kunden das Single-Sign-On (SSO) abschalten m\u00fcssen. Mit SSO kann der Nutzer nur mit einer einzigen Anmeldung auf fast alle Programme zuzugreifen, die am Arbeitsplatz verwendet werden.<\/p>\n

Er beeilte sich, Propublica, einige der sensibelsten Kunden des Unternehmens Microsoft vor der Bedrohung zu warnen. Er \u00fcberwachte beispielsweise pers\u00f6nlich die Behebung der Schwachstelle beim New Yorker Police Department. Aus Frustration \u00fcber die Unt\u00e4tigkeit Microsofts verlie\u00df er das Unternehmen im August 2020.<\/p>\n

SolarWinds-Hack in 2020 nutzt Schwachstelle<\/h2>\n

Im Jahr 2020 kam es dann zum ber\u00fcchtigten SolarWinds-Hack \u00fcber die Golden SAML-Schwachstelle. Das ist einer Angriffstechnik, die das SAML-Authentifizierungsprotokoll ausnutzt und die 2020 von der Hackergruppe Nobelium gegen Solarwinds eingesetzt wurde. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat b\u00f6sartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identit\u00e4tsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identit\u00e4tssystem wie Entra ID umzustellen.<\/p>\n

Laut dem Propublica-Artikel war aber die von Harris entdeckte Schwachstelle (also Golden SAML) die Ursache, dass die Hackergruppe Nobelium Solarwinds\u00a0 hacken konnte. Im Artikel schreibt Propublica, dass die Aussagen von Harris durch Interviews mit ehemaligen Kollegen und Mitarbeitern sowie durch Beitr\u00e4ge in den sozialen Medien gest\u00fctzt werde.<\/p>\n

Als der SolarWinds-Lieferkettenangriff bekannt wurde, stellte Microsoft klar, dass das Unternehmen keine Schuld tr\u00e4fe. Brad Smith, Pr\u00e4sident bei Microsoft, versicherte dem Kongress bei einer Anh\u00f6rung im Jahr 2021, dass es \"keine Schwachstelle in einem Microsoft-Produkt oder -Dienst gab, die in SolarWinds ausgenutzt wurde\", schreibt Propublica. Und es kam der Hinweis, dass die Microsoft-Kunden mehr h\u00e4tten tun k\u00f6nnen, um sich zu sch\u00fctzen.<\/p>\n

Dem widerspricht Harris nun, denn die Kunden hatten nie die M\u00f6glichkeit besessen, sich besser zum sch\u00fctzen (es sei denn, sie verzichten auf Microsoft-Produkte). Die Ausf\u00fchrungen von Harris werfen nat\u00fcrlich das bisher in der \u00d6ffentlichkeit herrschende Bild des SolarWinds-Hacks \u00fcber den Haufen. Harris arbeitet inzwischen f\u00fcr CrowdStrike. Das ist ein Cybersicherheitsunternehmen, das mit Microsoft konkurriert.<\/p>\n

Harris sagte: \"Die Entscheidungen basieren nicht darauf, was das Beste f\u00fcr Microsofts Kunden ist, sondern darauf, was das Beste f\u00fcr Microsoft ist.\" ProPublica schreibt, dass Microsoft ein Interview mit Smith oder anderen hochrangigen Managern zum Thema ablehnte. Ein Sprecher Microsofts antwortete ProPublica: \"Der Schutz der Kunden hat f\u00fcr uns immer h\u00f6chste Priorit\u00e4t. Unser Sicherheitsteam nimmt alle Sicherheitsprobleme ernst und pr\u00fcft jeden Fall mit der gebotenen Sorgfalt, indem es eine gr\u00fcndliche manuelle Bewertung vornimmt und sich mit Technik- und Sicherheitspartnern abstimmt. Unsere Bewertung dieses Problems wurde mehrfach \u00fcberpr\u00fcft und entsprach dem Branchenkonsens.\" Von Microsoft wurden aber andererseits die Ergebnisse von ProPublica nicht bestritten.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
\nSUNBURST-Hack: Microsofts Analysen und Neues<\/a>
\nSolarWinds-Systeme mit 2. Backdoor gefunden<\/a>
\nSolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a>
\nSolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a>
\nGibt es deutsche Opfer des SolarWinds-Hacks?<\/a>
\nNeues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a>
\nKaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware<\/a>
\nSolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an<\/a>
\nAuch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt<\/a>
\nVier Sicherheitsanbieter best\u00e4tigen SolarWinds-Vorf\u00e4lle<\/a>
\nNeues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht<\/a>
\nMicrosoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune<\/a>
\nVorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt<\/a>
\nSolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung<\/a>
\nSolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus<\/a>
\nSolarWinds: Update f\u00fcr Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten<\/a>
\nSolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber<\/a>
\nMicrosoft Insides zum SolarWinds Orion SunBurst-Hack<\/a>
\nSolarWinds-Angreifer nehmen Microsoft-Partner ins Visier \u2013 fehlende Cyber-Sicherheit bem\u00e4ngelt<\/a>
\nSolarWinds-Kunden sollten Web Help Desk entfernen<\/a>
\nSolarWinds Hack in 2020: Das US-Justizministerium wusste 6 Monate vorher Bescheid<\/a>
\nNeue Variante der Solarwinds-Angriffstechnik von 2020 entdeckt<\/a><\/p>\n

China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nHewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bei Microsoft hat Sicherheit seit Jahren Priorit\u00e4t, wissen wir alle. Und jedes Windows ist das beste und sicherste Windows aller Zeiten. Whistleblower und Ex-Mitarbeiter Andrew Harris sagt, dass Microsoft jahrelang seine Warnungen vor einem Azure Active Directory-Fehler ignoriert habe. Im … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-296292","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296292"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296292\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}