Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert

[English]Microsoft ist wohl durch die staatliche russische Hackergruppe Midnight Blizzard, auch als Nobelium bekannt, erfolgreich angegriffen worden. Aufgefallen ist das am 12. Januar 2024, die Hacker waren aber wohl Monate in den Systemen und konnten dort E-Mails einsehen und abziehen. Der nächste große Hack nach dem Angriff der chinesischen Gruppe Storm-0558 von Mai bis Juni 2023.


Anzeige

Hack durch Midnight Blizzard

Ich bin über diverse Tweets wie den nachfolgenden auf das Thema gestoßen, welches in einer kurzen sec.go-Mitteilung angesprochen und von Microsoft zum 19. Januar 2024 im Beitrag Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard inzwischen eingestanden wurde.

Am 12. Januar 2024 wurde vom Microsoft-Sicherheitsteam  ein staatlicher Angriff auf die eigenen Unternehmenssysteme bemerkt. Dadurch liefen interne Prozesse an, um auf diese böswilligen Aktivitäten zu reagieren, diese zu unterbinden und den Sachverhalt zu untersuchen. Microsoft ist nach diesen Untersuchungen zum Schluss gekommen, dass der Angriff durch Midnight Blizzard erfolgte. Dass ist ein vom russischen Staat gesponserten Akteur, der auch als Nobelium bekannt ist.

Nobelium (aka Midnight Blizzard, APT29 und Cozy Bear) ist eine russische, staatlich geförderte Hackergruppe, die vermutlich dem russischen Auslandsgeheimdienst (SVR) angehört und in den letzten Jahren mit zahlreichen Angriffen in Verbindung gebracht wurde.

Angriff über Test-Tenant

Microsoft schreibt, dass der Bedrohungsakteur ab Ende November 2023 einen Passwort-Spray-Angriff nutzte, um ein altes, nicht produktives Test-Tenant-Konto zu kompromittieren und Fuß zu fassen. Bei diesem Angriff versucht man mit beliebigen Passwörtern, die schlicht ausprobiert werden, auf ein Konto zuzugreifen. Das ist offenbar gelungen – mit Zweifaktor-Authentifizierung (2FA) wäre das so nicht möglich gewesen.

Mit dem Zugriff auf den Test-Tenant hatte der Angreifer wohl so etwas wie den Jackpot geknackt, denn er konnte die Berechtigungen des Kontos nutzen, um auf E-Mail-Konten, die bei Microsoft gehostet sind, zugreifen. Damit stand den Angreifern wohl der Zugang zu beliebigen E-Mail-Konten von Microsoft offen.

E-Mails über Monate abgezogen

Bei Microsoft wird es dann so dargestellt, dass der Angreifer mit den Berechtigungen des Kontos nur "auf einen sehr kleinen Prozentsatz von Microsoft-Unternehmens-E-Mail-Konten zugegriffen habe. Das mag zwar sein, dass nur wenige Konten durchforstet wurden. Aber es waren auch die E-Mail-Konten von Mitgliedern des Microsoft Führungsteams und von Mitarbeitern in den Bereichen Cybersicherheit, Recht und anderen Funktionen, unter den zugegriffenen Microsoft Konten.

Die Angreifer hatten quasi Zugriff auf die "Kronjuwelen" des Microsoft Managements, die E-Mails des Pförtners oder Hausmeisters dürften weniger interessant für die Angreifer gewesen sein. Der Angreifer exfiltrierte dann einige E-Mails und angehängte Dokumente (der Umfang der abgezogenen Mails wurde nicht mitgeteilt).

Die Untersuchung durch Microsoft hat ergeben, dass die Angreifer es zunächst auf E-Mail-Konten abgesehen hatten, um Informationen über Midnight Blizzard selbst zu erhalten. Die Angreifer wollten wissen, was die Sicherheitsspezialisten bei Microsoft über diese Gruppe weiß. Microsoft gibt an, dass man gerade dabei sei, die Mitarbeiter zu benachrichtigen, auf deren E-Mails zugegriffen wurde.


Anzeige

Was nicht gesagt wurde

Liest man den Beitrag Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard, klingt das alles ganz harmlos und verniedlichend. Es wurde ein nicht produktiv genutztes Test-Konto eines Tenants per Passwort-Spray-Attack geknackt. Und die Angreifer hätte über die Berechtigungen dieses übernommenen Kontos nur auf "ein geringe Anzahl an E-Mail-Konten" von Microsoft zugegriffen. Und man hat auch sofort reagiert, als man das bemerkte.

Liest man zwischen den Zeilen und übersetzt die Microsoft-Angaben, stellt sich der Fall allerdings etwas anders dar. Ich habe den Sachverhalt mal etwas anders übersetzt und zusammen gefasst.

  • Wir, von Microsoft, sind über einen Test-Tenant im November 2023 angegriffen worden, haben das aber erst zwei Monate später bemerkt.
  • Hast Du Zugriff auf diesen Test-Tenant, kannst Du die E-Mail-Konten von jedem beliebigen Mitarbeiter Microsofts inspizieren und dessen E-Mails mitlesen.

An dieser Stelle sollte man mal innehalten und nachdenken. Ich weiß nicht, ob es stimmt: Aber mit einem normalen Tenant in Microsoft 365 sollte man nicht auf die Postfächer fremder Tenants zugreifen können. Nur mal spontan ins Unreine gedacht:

  • Dieser nicht "produktiv genutzte" Test-Tenant scheint bei Microsoft intern eine besondere Rolle gespielt zu haben, weil die Berechtigungen des Kontos den Zugriff auf die Microsoft Unternehmens-Mails ermöglichte.
  • Unter diesem Blickwinkel ist es absolut unverständlich, dass dort keine Multifaktor-Authentifizierung (die Microsoft seinen Kunden immer nahe legt) zur Absicherung zum Einsatz kam.
  • Wenn der Angriff im November 2023 erfolgte und das Ganze erst im Januar 2024 bemerkt wurde, die Angriffe aber – nach meinem Verständnis – von fremden IPs gekommen sein müssen, gibt es auch keine kontinuierliche Überwachung der Zugriffe. Der Storm-0558-Angriff fiel auf, weil ein US-Regierungsmitarbeiter sich über Zugriffe wunderte, die nicht dem normalen Muster entsprachen.
  • Und wenn ich von einem Test-Tenant auf das E-Mail-System von Microsoft Zugriff erhalte, ist es egal, ob "nur auf eine kleine Anzahl an Konten" zugegriffen wurde. Die "Schranktür stand offen" und die Angreifer konnten sich nach Belieben bedienen. Dass die nur auf lukrative Konten von Führungskräften, Juristen und Sicherheitsleuten zugegriffen haben, ist in meinen Augen logisch – Du gehst nicht in den Pausenraum des Hausmeisters, wenn Du den Aktenschrank der Geschäftsführung  durchsehen willst.

Beim Storm-0558 Cloud-Hack hatten die Angreifer einen "nicht produktiv genutzten" privaten MSA-Schlüssel "auf obskurem Weg erbeutet und konnten damit Sicherheitstokens fälschen, um auf beliebige Konten in der Microsoft Cloud zugreifen. Im aktuellen Fall reichte eine Passwort-Spray-Attacke auf ein Testkonto für den Zugang zu Microsofts E-Mail-System.

In beiden Fällen wurde das Ganze durch Microsoft "klein geredet". Ich habe den Storm-0558 Hack ja hier im Blog aufbereitet (siehe Links am Artikelende). Meine Versuche, beim Bundesdatenschutzbeauftragten Auskunft über die DSGVO-Relevanz des Vorfalls zu bekommen, verlief damals im Sande – der ist nicht zuständig. Und die Datenschutzaufsicht in Bayern erteilt keinerlei Auskünfte – geht Dritte nichts an. An dieser Stelle beschleicht mich die Frage "was muss noch alles passieren", damit die Leute aufwachen.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Mail, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

34 Antworten zu Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert

  1. rpr sagt:

    Zu deiner Frage
    was muss passieren ….
    wissen wir doch alle die Antwort.
    Es kann sich nichts ändern da MS komplett ausser Kontrolle ist und offensichtlich eine Menge Leute im Sack hat.
    Da es nicht so spektakulär Bumm macht wie in Tschernobyl gilt „gehen sie weiter, es gibt hier nichts zu sehen".
    Staaten, Institutionen und Firmen haben sich komplett in die Hände von MS gegeben.
    Die Nummer ist gelaufen. Einzige Lösung ist dem Nachwuchs Opensource als Alternative an die Hand zu beben so da im Laufe der nächsten Jahrzehnte eine Umschwung statt findet.

  2. TBR sagt:

    Durch die unzähligen Sicherheitslücken/Schwachstellen bei nahezu allen Herstellen (inkl. Firewalls) ist leider On-Prem auch nicht wesentlich sicherer. On-Prem ist nur gefühlt sicherer aber das trügt.

    • Anonymous sagt:

      Harte Trennung jeglicher Produktion IT vom Internet, Problem gelöst. Wenn das nicht (mehr) geht, wartet man praktisch nur auf den GAU.

      • Tom sagt:

        Öhmmm…. Was soll das bringen? Dann werden eben nicht die Produktionssysteme angegriffen, sondern z.B. die SAP Infrastruktur. Damit ist dann das HR System, das Bestellsystem und die Rechnungsstellung tot. Es gab mal eine Untersuchung, dass ein Unternehmen so einen Komplettausfall höchsten einen Monat durchseht. Keine Bestellungen, keine Rechnungen, keine Gehaltsdaten. Wenn das System innerhalb einem Monat nicht wiederhergestellt ist, bringt dir eine laufende Produktion auch nichts. Dann wird es eng für jedes Unternehmen

        • Anonymous sagt:

          Gut erkannt. Wenn sich ein Unternehmen auf solche Strukturen eingelassen hat, dann ist so ein Unternehmen jetzt leider voll abhängig von externen Faktoren und Drittländern und darf sich dann nicht über einen GAU eines Tages wundern.

          • Franz sagt:

            Zumindest an SAP kommst du als große Firma eigentlich fast nicht mehr vorbei. Ist aber zumindest ein deutsches Unternehmen. Viele Ausschreibungen oder Handel mit anderen Firmen läuft nur noch über SAP.

        • TBR sagt:

          Richtig – Produktion und Verwaltung zusammen sind wichtig. Nur eines von beiden wird nicht viel bringen. Viele vergessen vermutlich auch Produktionssysteme (Industrie-PCs) offline zu sichern?

        • Luzifer sagt:

          kein Backup kein Mitleid! real simple that is!
          On Prem hab ich die Fäden in der Hand und bin nicht von anderen abhängig.
          Kannst dann die Schuld natürlich auch nicht mehr auf andere schieben ;-P

    • rpr sagt:

      Nicht ganz, du hast aber letztlich die Transparenz und die Informationen wenn etwas hoch kommt was dich betrifft.
      In der Cloud wirst du von Anbietern im Dunkeln gelassen teilweise dreist belogen.
      Dumm nur wenn dein Arbeitgeber sich allen Fachwissen entledigt hat um Kosten zu sparen.

      • TBR sagt:

        @ rpr – stimmt. Das ist bei uns nicht so. Wir haben nur das Mailsystem ausgelagert. Alles andere bleibt in jedem Fall unter unserer Kontrolle. Wir durften auch noch IT Personal aufstocken 👍🏻

    • Singlethreaded sagt:

      Dieses Argument wird immer wieder angeführt und ich würde diesem nicht unbegrenzt zustimmen. Es hängt sehr stark davon ab wie man seine On-Prem Infrastruktur betreibt und insbesondere auch welche Dienste man nach außen aus dem Internet exponiert.

      Bei M365 reichen Mail-Adresse und Passwort, um weltweit auf Mails zugreifen zu können. Gerade deshalb funktionieren Phishing-Angriffe ja so wunderbar. Ja, 2FA hilft das besser zu sichern, aber offenbar ist selbst Microsoft da nicht konsequent.

      Bei On-Prem kann ich das auch anders handhaben, so dass es erstmal keine Möglichkeit gibt erbeutete Zugangsdaten direkt zu verwenden. Auch ist der Impact viel kleiner, wir haben schlicht nicht die Mails der halben Welt. Das Stichwort lautet dezentrale Speicherung.

      Wir hatten die Woche erst wieder komische Mails von einem Lieferanten, weil dort die Mailbox einer Mitarbeiterin übernommen wurde. Die DSGVO Meldung ist naturgemäß etwas schwubbelig, aber man konnte schon herauslesen, dass wohl Cloud + Phishing mal wieder einen Treffer gelandet haben.

      Alleine die Tatsache, dass man ein Tenant per Bruteforce knacken kann ist doch ein Armutszeugnis. Spätestens nach 25 Fehlversuchen egal von welcher Quelle gehört das Konto deaktiviert und ne Meldung muss an die IT.

      • TBR sagt:

        Wir sperren die Konten nach weniger als 7 Versuchen. Das Konto ist dann dauerhaft gesperrt bis ein Admin es wieder freischaltet (gilt für Cloud und On-Prem)

        Hier war Microsoft äußerst schlampig unterwegs.

        Der Einsatz von Deception und Decoys hilft ebenso Angriffe frühzeitig zu erkennen.

        • Bernd B. sagt:

          Das Problem daran ist, dass Sie damit einen idealen Angriffsweg für DOS eröffnen:
          7 (oder 25) erfolglose Anmeldeversuche produziert man innert Sekunden, wenn da noch eine Verzögerung drin ist Minuten, fast aufwandslos per Script.

  3. Anonymous sagt:

    So ein "Test-Tenant" erinnert stark an ältere Dinge wie z.B. "_NSAKEY", vielleich existiert der aus ganz bestimmten Gründen?

  4. Norddeutsch sagt:

    Bitte Typokorrektur falls Zeit: 2023 = 2024
    …"November 2023 erfolgte und das Ganze erst im Januar 2023"
    Comment bitte gern löschen?

    • Ano sagt:

      Wenn mfa genutzt wird, werden halt session token abgezogen. mittel und wege gibt es immer…
      nur das es immer weniger ziele gibt, da vieles in die cloud wandern soll.
      onprem ist immer sicherer.. sofern die anlage gepflegt wird. bei cloud reicht nur ein dau mit entsprechenden rechten und alles ist offen.
      und da laufen genug daus rum.. wie überall

  5. Wolfi sagt:

    Die Cybermafia von Putins Gnaden wird eine Antwort erhalten!

  6. Pau1 sagt:

    Wieso kann ein Account überhauptvauf beliebige Email-Postfächer zugreifen?
    Wie bekommt er diese Rechte? Als Admin?
    Wozu braucht er diese Rechte?

    Was macht MS so sicher, dass da nicht mehr passiert ist? Ist das evtl. nur das leidige MS-Krisen-Prinzip: Nur das mitteilen was sich nicht verbergen lässt?
    Erstaunlich das sie so genau wissen, seit wann der Besuch da war…
    Werden Accounts nicht mehr nach X Monaten der Inaktivität automatisch deaktiviert?
    Gerade die in der Gruppe "Test".

    • R.S. sagt:

      Naja, was Microsoft da mit dem Testaccount gemacht hat, wissen wir nicht.
      Auch nicht, ob der Account noch aktiv genutzt wird oder nicht.

      Der Hauptfehler von Microsoft war, das dieser Testaccount nicht auf einer isolierten Testumgebung war, sondern in der aktiv genutzen Liveumgebung.

      Hinzu kommt, das anscheinend die Passwortstärke und Passwortrichtlinien viel zu schwach waren. Und/oder keine AES-Verschlüsselung vorhanden war.
      Und das dieser Testaccount zu viele Rechte hatte.

  7. 1ST1 sagt:

    Puh, danke für die andere Interpretation der Ereignisse, genau die Fragen hab ich mir auch gestellt, als ich es bei Spiegel.de und Heise las. Einen Tenant ohne 2FA zu betreiben ist schon eine Hausnummer, selbst wenn es nur ein Test ist. Aber ganz starker Tobak ist dann das Rüberspringen auf MS-interne Konten. Da fragt man sich, was für ein schräger Test-Tenant das wohl war, oder kann ich auch von unserem Konzern-Tenant zu Microsoft internen Mails hüpfen, oder zu BASF oder VW oder zum Pentagon? Ja, Pentagon: Kleine Spielerei, macht mal Google auf und sucht nach "apps.mil" – erster Treffer, Hund mit Brille. Vorsicht mit den Anmeldeversuchen, nicht dass ihr in 20 Minuten lauter schwarze SUVs vorm Haus stehen habt…

    • 1ST1 sagt:

      z-z-z-z… Es war (wieder) nicht Heise, sondern Golem. Heise schläft noch. Bei Winfuture finden sich übrigens noch weiterführende Infos.

      • Pau1 sagt:

        Ich bin sicher das Heise das auch (falsch) geschrieben hat.

        So rein praktisch fliegt doch jeder User auf, der Tagelang immer wieder versucht mit unbekannten User und (natürlich) falschem Passwort in Kurzer Zeit auf.
        Und so bescheuert wird ja wohl kein Admin sein, den Localpart der überall bekannten Email Adresse als User Name zu nehmen wie es vor 40 Jahren bei Unix üblich war, oder gar dessen Realnamen Vorname.Nachname als Localpart…?

        (YIC: Das ist zynisch gemeint,weil ja genau das aktuelle Praxis ist. Zu Unix-Zeiten hat der Admin den Usernamen definiert. Das hat natürlich einige User überfordert…

    • Pau1 sagt:

      Heise schreibt allerdings, dass die anderen Accounts auch per Spray aufgemacht worden seien.
      Da Heise schon mehrfach etwas Radeberger Übersetzungen geliefert hat, und es ein noch tragischerer GAU wäre, traue ich der Übersetzung von Günter weit mehr.

  8. Stephan sagt:

    Mit Windows XP gab es von Microsoft einen Identitätsdienst namens Microsoft Passport (auch .NET Passport und Windows Live ID genannt).
    Dieser Dienst war so so unsicher und konsumentenschädlich, daß die Federal Trade Commission Microsoft verbot, seine angebliche Sicherheit zu bewerben, und Microsoft dazu verdonnerte, seine Produkte für zwanzig Jahre alle zwei Jahre von unabhängigen Auditoren prüfen zu lassen.
    Diese 20 Jahre sind im Dezember 2022 abgelaufen, und seitdem kommt ein Problem nach dem anderen zu Microsofts Identiätsdiensten ans Licht. Ist das Zufall?

    Ein paar Artikel von damals:
    https://www.heise.de/news/Microsoft-muss-Passport-sicherer-machen-68189.html
    https://www.theguardian.com/technology/blog/2002/aug/08/microsofthamme
    https://www.theguardian.com/business/2002/aug/09/microsoft.technology
    https://www.heise.de/news/US-Datenschuetzer-gegen-Windows-XP-42278.html
    https://www.heise.de/news/Sicherheitsluecke-bei-Passport-macht-Microsoft-weiter-Schwierigkeiten-78921.html
    https://www.ftc.gov/news-events/news/press-releases/2002/08/microsoft-settles-ftc-charges-alleging-false-security-privacy-promises

  9. Martin B sagt:

    onprem ist einfacher, billiger und sicherer. Punkt.

    Selbst mies gepflegt und mit Halbwissen aufgebaut, weil die Angrissfläche einfach kleiner ist.

  10. michael sagt:

    Haha – M$ beherrscht ihre eigene Mi$t-Cloud nicht. Alles muß raus – in die Klaud die CIA freuts.

  11. Martin sagt:

    Klingt irgendwie nach sehr vielen "Zufällen" :D

    Ein Test-Tenant, der Zugriff auf Produktiv-Postfächer ermöglicht, mit anscheinend so schwachen Passwörtern, dass man diese mit password spraying relativ einfach durchprobieren kann, scheinbar ohne das die Accounts sich sperren nach Fehlversuchen und ohne 2-Factor. Und dann probierts eine "staatliche russische Hackergruppe" auch noch ausgerechnet bei diesem Tenant.

    • Blubmann sagt:

      Naja es spiegelt einfach nur das wider, was in Großkonzernen abgeht. Auch ein Microsoft ist davon nicht geschützt. Der Account war mit Sicherheit einfach in Vergessenheit geraten und ein schlampiges Programmschnipsel hat dann dazu geführt, dass dann dieser Account weitreichende Rechte hat. Mich wundert bei Großkonzernen gar nix mehr und bei Microsoft schon zwei Mal nicht. Die haben mir nun schon einige Mal sehr vorzüglich bewiesen, dass es in einem Großkonzern keinen Durchblick gibt.

  12. viebrix sagt:

    Das ist natürlich Spekulation und weit hergeholt – eher SF. Aber angenommen es wurde aus dem Test Tenant genau die von Günther Born beschriebene Outlookschwäche ausgenutzt. D.h. die Führungsriege bekam eine Terminanfrage von einer für sie bekannten Assistentin. Nur dass der Account der Assistentin im Test-Tenant angelegt war. Sie haben sie bestätigt und das Passwort wurde mitgesendet. Mit dem Passwort war es möglich in den Mail-Account zu kommen. Erst jetzt wo MS die Lücke gestopft hat, wird auch der Vorfall bekanntgemacht? Naja klingt vielleicht doch wie eine Gutenachtgeschichte, aber für einen Film wäre das schon Ok ;-)

  13. Larry sagt:

    "Das ist offenbar gelungen – mit Zweifaktor-Authentifizierung (2FA) wäre das so nicht möglich gewesen."
    Selbst simples Fail2Ban hätte diese primitive Angriffstaktik vereitelt.
    Was eigentlich ist ein "Test-Tenant"-Konto, das unbemerkt Zugriffe auf die sensibelsten Mail-Konten des Unternehmens ermöglicht? Microsoft mutiert zum Witz-Konzern.

  14. Peter F sagt:

    microsoft hack vom Jan 24:

    oder war es eine Fang-Schaltung von MS ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.