Bei Microsoft soll es im Jahr 2013 einen Hack einer internen Datenbank gegeben haben, in der Microsoft ungefixte Bugs aufgelistet hat. Dies berichten fünf Ex-Microsoft-Mitarbeiter.
Anzeige
Nun auch Du, Brutus, mein Sohn – dieser Ausspruch schoss mir beim Lesen der Nachricht durch den Kopf. Nicht nur Adobe, Yahoo oder andere Größen, sondern auch Microsoft wurde scheinbar gehackt. Das schreibt zumindest Reuters in diesem Artikel.
Dabei soll die geheime interne Datenbank für die Verfolgung von Fehlern (Bug-Tracking) in der eigenen Software 2013 von einer sehr ausgebufften Hackergruppe gehackt worden sein. Das ist, laut fünf ehemaligen Microsoft-Mitarbeitern, der zweite bekannte Hack einer solchen Unternehmensdatenbank. Diese Mitarbeiter haben diese Information gegenüber Reuters in separaten Interviews offen gelegt. Microsoft hat diesen Hack aus dem Jahr 2013 niemals öffentlich gemacht und verweigert jeglichen Kommentar zum Reuters-Bericht.
Kritische Bugs dabei?
Die Geschichte entbehrt nicht einer gewissen Brisanz. Die gehackte Datenbank enthielt Beschreibungen kritischer und nicht behobener Schwachstellen in einigen der weltweit am häufigsten verwendeten Softwareprogramme, einschließlich des Windows-Betriebssystems. Solche Informationen sind bei Hackern und Spionen rund um den Globus hoch begehrt, lassen sie sich doch für Zero-Day-Exploits verwenden.
Bugs sind wohl längst gefixt
Die in der Datenbank aufgeführten Microsoft-Bugs wurden nach Ansicht der ehemaligen Mitarbeiter innerhalb weniger Monate nach dem Hack behoben. Dennoch ist der ganze Vorgang höchst alarmierend, so die Einschätzung der Ex-Mitarbeiter sowie von US-Regierungsmitarbeitern. Denn der Hack ermöglichte diesen zur betreffenden Zeit die ungefixten Bugs zur Entwicklung von Zero-Exploits zu nutzen.
Anzeige
Nachdem der Hack intern entdeckt wurde, hat Microsoft (nach Aussage der Mitarbeiter) die Sicherheitsvorfälle in anderen Organisationen analysiert. Sie fanden dabei keine Beweise dafür, dass die gestohlenen Informationen bei diesen Hacks verwendet worden waren.
Hier gibt es aber Diskrepanzen. Zwei noch aktive Microsoft Angestellte behaupten, dass die Firma zu dieser Einschätzung (keine Verwendung der Informationen in Hacks) steht. Drei der ehemaligen Mitarbeiter geben aber an, dass die Untersuchungen Microsoft einfach zu wenig Daten beinhaltete, um die Aussage 'keine Verwendung der Informationen in Hacks' schlüssig zu belegen.
Microsoft reagierte
Jedenfalls hat Microsoft reagiert. Im Gegensatz zum Credo 'alles in die Cloud' und 'wir müssen nur härter arbeiten, dann ist alles sicher' für die Kunden, hat das Unternehmen rigoros gehandelt.
Zur Sicherheit wurde die Datenbank schlicht aus dem Unternehmensnetzwerk heraus genommen. Und zum Zugriff waren nach dem Hack zwei Authentifizierungen erforderlich. Leben kann so einfach sein, wenn nicht alles vernetzt ist – welch Überraschung.
Anzeige
Wundert mich irgendwie keineswegs, wieso auch Zero-Day suchen wenn man sie beim Betriebssystem Hersteller aus einer geheimen Datenbank abgreifen kann.
Mich wundert es auch keineswegs. Rein denklogisch ist doch MS das wichtigste Angriffsziel, egal aus welchen Gründe. Dass das MS nun auch nicht öffentlich macht ist auch logisch und sinnvoll nachzuvollziehen.
Wichtig ist das Ding mit der Wolke. Das ist für mich eine Bestätigung, was soll dieses und sicher ist dieses schon gar nicht. Die IT-Verbände ( es gibt da mehrere) in Deutschland werben seit paar Jahren verstärkt für das Ding und da soll man sich nicht wundern, wenn bei wichtigen Unternehmensdaten die Wolke regnet und die Leute dann ohne was da dastehen.
Also der Reuters Artikel war schon ganz interessant, wie sich eine Welt weit agierende Firma wie Microsoft mit Händen und Füßen sträubt einzugestehen das in der Vergangenheit Verfahrensfehler gemacht wurden.
Klar welche Firma gibt schon gerne offen und ehrlich zu das es an der Sicherheit mangelt!
Ganz witzig fand ich ich den kleinen Absatz Zitat: "Wir haben eine kleine Anzahl von Computern gefunden, darunter auch einige in unserer Mac-Geschäftseinheit, die mit bösartiger Software infiziert waren, wobei Techniken verwendet wurden, die denen ähnelten, die von anderen Organisationen dokumentiert wurden. Wir haben keinen Beweis dafür, dass Kundendaten betroffen sind, und unsere Untersuchung läuft weiter. "
lol, das ist mal wieder so ein Seitenhieb