{"id":297040,"date":"2024-07-09T00:43:09","date_gmt":"2024-07-08T22:43:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297040"},"modified":"2024-07-09T09:28:00","modified_gmt":"2024-07-09T07:28:00","slug":"midnight-blizzard-hack-microsoft-schickt-kunden-mail-die-landen-in-spam-ordnern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/09\/midnight-blizzard-hack-microsoft-schickt-kunden-mail-die-landen-in-spam-ordnern\/","title":{"rendered":"Midnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet"},"content":{"rendered":"

[English<\/a>]Nachdem Microsofts E-Mail-System (Exchange Online, Outlook.com) durch Hacker der staatlichen Gruppe Midnight Blizzard-Hacker kompromittiert wurde, musste Microsoft k\u00fcrzlich eingestehen, dass auch E-Mails an Kunden betroffen waren. Beim Versuch, die Kunden zu informieren, leistet Microsoft sich den n\u00e4chsten Klopper. Die Benachrichtigungen gingen an die \"Global Administrators\" der Tenants der betroffenen Firmen. Benachrichtigungen wurden nicht abgerufen oder landeten im Spam-Ordner, oder wurden als SPAM klassifiziert, weil Microsoft weitere Kardinalfehler beging.<\/p>\n

<\/p>\n

Midnight Blizzard-Hack betraf auch Kunden<\/h2>\n

\"\"Kleiner R\u00fcckblick, um was es geht: Im Januar 2024 wurde bekannt, dass Hacker der staatlichen Gruppe Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen und gezielt Nachrichten von F\u00fchrungskr\u00e4ften oder Sicherheitsexperten mitlesen konnten. Die Hacker waren seit November 2023 im System, wie ich im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> angemerkt hatte.<\/p>\n

Der Hack konnte angeblich \u00fcber ein altes Testkonto ohne MFA erfolgen, von wo aus die Angreifer auf Microsofts E-Mai-System zugreifen konnten. Es steht die Frage im Raum, wie ein Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto m\u00f6glich war, und dort keine Multifaktor-Authentifizierung (MFA) verwendet wurde. Und es stellte sich die Frage, wie die Angreifer von diesem Testkonto Zugriff auf Produktsysteme, d.h. Microsofts E-Mail-System, erlangen konnte.<\/p>\n

Im Blog-Beitrag Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten<\/a> hatte ich den Angriffsweg der Hacker nachgezeichnet. Es deutet auf eine Kette an Vers\u00e4umnissen von Seiten Microsofts hin. Aber Redmond wiegelte ab und meinte \"Gefahr erkannt, Gefahr gebannt, die Hacker von Midnight Blizzard sind erfolgreich ausgesperrt\". Sp\u00e4ter musste Microsoft dann eingestehen, dass die Angriffe von Midnight Blizzard weiter gehen \u2013 es blieb aber unklar, ob sich die Angreifer weiter in Microsofts Systemen bewegen konnten. Bekannt wurde allerdings, dass die Gruppe Quellcode abziehen konnte (siehe Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>).<\/p>\n

Die letzte Information zum betreffenden Fall findet sich im Blog-Beitrag Microsoft: Neues vom Midnight Blizzard-Hack \u2013 auch Kunden m\u00f6glicherweise betroffen<\/a>, wo Microsoft einr\u00e4umen musste, dass auch Kunden von diesem Hack betroffen sind. Denn die Angreifer konnten E-Mails von Microsoft-Mitarbeitern an Kunden mitlesen. Es besteht die Gefahr, dass die Mails Informationen f\u00fcr die Angreifer bereithielten, die die Kunden gef\u00e4hrden. Ist ja kein Problem, Microsoft will die betreffenden Kunden informieren.<\/p>\n

Ich hatte im letzten Blog-Beitrag gefragt, ob jemand aus der Leserschaft eine solche Mail erhalten hat. Das Echo war gleich Null – waren keine Leser darunter? Das ist aktuell unklar! Was aber klar ist: Microsoft schafft es nicht, seine Cloud-Infrastruktur abzusichern und gl\u00e4nzt durch immer neue Fehler und Vers\u00e4umnisse. Selbst Kundenbenachrichtigungen bekommt Microsoft nicht auf die Reihe.<\/p>\n

Kundenbenachrichtigungen ins Nirvana<\/h2>\n

Patrick S. hat mich vor einigen Stunden per E-Mail auf den n\u00e4chsten Schenkelklopfer von Microsoft aufmerksam gemacht und meinte, es mache m\u00f6glicherweise Sinn, meinen Artikel Microsoft: Neues vom Midnight Blizzard-Hack \u2013 auch Kunden m\u00f6glicherweise betroffen<\/a> um entsprechende Informationen zu erg\u00e4nzen. Patrick wies darauf hin, dass Microsoft die Benachrichtigungsmails an Kunden, dass sie vom Hack betroffen seien, an die Global Admins des Tenants geschickt haben. Er meinte, dass diese Admins im Idealfall kein Postfach haben.<\/p>\n

Aufgedeckt hat es Sicherheitsforscher Kevin Beaumont in einem Beitrag<\/a> auf Microsofts Karrierenetzwerk LinkedIn. Dort r\u00e4t er Microsoft Cloud-Kunden, die E-Mail-Protokolle (einschlie\u00dflich Exchange Online) auf eine E-Mail von mbsupport@microsoft.com <\/em>zu pr\u00fcfen. Microsoft habe eine Sicherheitsverletzung durch Russland (konkret durch Midnight Blizzard), die sich auf Kundendaten auswirkte, auf etwas eigenartige Weise kommuniziert. Man hielt sich nicht an den Prozess, der normalerweise bei\u00a0 Datenschutzvorf\u00e4llen, die Kundendaten von Microsoft 365 betreffen, verwendet wird (dort wird dann eine Statusmeldung im Administrator-Portal eingestellt).<\/p>\n

Mail an Global Admins …<\/h3>\n

Microsoft hat die Benachrichtigung per E-Mail an die Administratorkonten des jeweiligen Tenants geschickt (laut Patrick die Global Administrators). Die E-Mails k\u00f6nnen einmal im Spam-Ordner landen. Global Administrator-Konten von Tenants sollten imho zudem Breakglass-Konten ohne E-Mail sein. Au\u00dferdem haben sie die Organisationen nicht \u00fcber die Kundenbetreuer informiert.<\/p>\n

Breakglass-Konten sind Notfall-Konten in Azure Entra ID, die mit erh\u00f6hten Rechten ausgestattet sind (Global Admins). Solche Konten erm\u00f6glichen Zugriffe auf die Ressourcen, wenn es Probleme mit der Verf\u00fcgbarkeit gibt. Break Glass-Konten m\u00fcssen daher durch strenge Sicherheitsregeln und -protokolle gesch\u00fctzt werden. Dazu geh\u00f6rt auch, dass diese Konten keine E-Mail-Adresse haben.<\/p><\/blockquote>\n

Mail ohne SPF und DKIM, mit self-signed Zertifikat<\/h3>\n

Auf LinkedIn geht in den Kommentaren zum Beitrag von Kevin Beaumont die Post von Seiten der Anwender ab. Ein Administrator schrieb, dass mehrere seiner Kunden diese E-Mail erhalten haben. Alle diese Kunden waren besorgt, dass es sich um Phishing handelt.<\/p>\n