MS Cybersicherheit

Ein mitternächtlicher Schneesturm

Ein im November 2023 auf Microsofts Cybersecurity-Abteilung erfolgter erfolgreicher und erst im Januar 2024 entdeckter Angriff lässt das Vertrauen in den Redmonder Software-Riesen weiter bröckeln. Mutmaßlich eine als “Midnight Blizzard” oder auch “Nobelium” bekannte Gruppe hatte Zugriff auf E-Mails der Mitarbeitenden und Führungskräfte erlangt. Dabei ging es vermutlich primär darum, herauszufinden, was die Analysten über die Gruppe und ihre Aktivitäten wusste, so die Vermutung.

Der Schuster hat die schlechtesten Schuhe

Während nicht nur Microsoft seit Jahren unisono mit Sicherheitsfachkräften dafür wirbt, Zugänge zu Onlinediensten mit modernen Methoden wie Multi-Faktor-Authentication (MFA), FIDO2-Keys und starken Passwörtern abzusichern, scheint das Unternehmen selber die eigenen Ratschläge nicht sonderlich ernst zu nehmen. Gerade bei einem Unternehmen, das verspricht, eine sichere Infrastruktur für seine Kunden zur Verfügung zu stellen, sollte man aber genau das erwarten können.

Nachdem Microsoft Details zum Vorgehen der Angreifer veröffentlicht hat wurde schnell eines klar: Die Mitarbeiter der Abteilung, die für Cybersicherheit im Unternehmen verantwortlich waren, nutzten leicht erratbare Standardkennwörter in ihrer Infrastruktur. Zwar waren die Benutzerkonten selbst zusätzlich mit einem zweiten Faktor abgesichert, aber es existierten Testkonten mit schwachen Kennwörtern - und deaktiviertem zweiten Faktor. Mittels Password Spraying, also dem Ausprobieren der gängigsten Kennwörter auf einzelnen Accounts, gelang es den Angreifern, sich mit einem der Testkonten an der Infrastruktur anzumelden. Dort hatten sie Zugriff auf eine veraltete Testanwendung, die es ihnen erlaubte, sich zusätzliche Rechte zu verschaffen und sich einen eigenen Zugang zu den Exchange Online-Konten der Mitarbeiter einzurichten.

Service-Hygiene und schwachstellenlose Angriffe

Das Unternehmen beeilte sich nach Bekanntwerden des Datenabflusses, zu versichern, dass “Midnight Blizzard” keine Schwachstellen ausgenutzt habe, um sich Zugang zu verschaffen. Dass jedoch ein nicht abgesichertes Testsystem mit veralteten OAuth-Anwendungen der Zugangsweg war, teilten sie anfangs nicht mit. Im Angesicht des Trubels um den Abfluss eines Signing-Keys nur wenige Monate zuvor vielleicht sogar eine verständliche Zurückhaltung, dennoch offenbart es ein fehlendes Sicherheitsempfinden, sogar in den Abteilungen, die sich Sicherheit auf die Fahne geschrieben haben.

Die Frage, warum das Testsystem, obwohl es die Möglichkeit auf Datenzugriff mit erhöhten Rechten bot, nicht ins Monitoring und Alerting eingebunden war, kann nur Microsoft beantworten. Damit wäre sowohl das Fehlen eines MFA-Mechanismus für den zugewiesenen Benutzer, als auch die laufenden Password Spraying-Angriffe aufgefallen. Wenigstens hat Microsoft ausnahmsweise wenigstens im Nachgang selbstkritisch reagiert und einen Blogbeitrag mit Details zum Angriff und Informationen, wie man Systeme gegen die beschriebenen Methoden absichert.

Die wohl nicht zuletzt durch das Signing-Key Debakel befeuerte SFI (Secure Future Initiative) ist wohl bitter nötig - ob Microsoft sich dabei allerdings gerade auf KI verlassen sollte, um Angriffe in Zukunft zu vereiteln? Ich habe da so meine Zweifel.