Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen

[English]Der Hack von Microsofts Cloud-Lösungen (Microsoft 365, Exchange Online) durch Hacker wie Storm-0588 und Midnight Blizzard könnte nun doch Auswirkungen auf die Geschäfte von Redmond haben. Großkunden und US-Behörden sehen sich wohl nach Alternativen bei Amazon und Google um. Und mir liegt die Stellungnahme eines Sicherheitsunternehmens vor, das ernste Konsequenzen in Bezug auf Microsofts Cloud-Angebote anmahnt.


Anzeige

Rückblick: Die Microsoft-Hacks

In den letzten Monaten ist Microsoft mehrfach Opfer von mutmaßlich staatsnahen Hackern geworfen. Im Juli 2023 hatte ich im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt über den Einbruch in E-Mail-Konten der US-Regierung berichtet, die unter outlook.com und Exchange Online liefen. Dieser Fall wurde von Microsoft zwar anfänglich herunter gespielt, aber hinter den Kulissen brodelte es, wurden im Nachgang doch unglaubliche Versäumnisse bei Microsoft bekannt (siehe GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten), die diesen Hack erst ermöglichten.

Dann wurde im Januar 2024 der nächste Hack bekannt. Mutmaßlich russische Hacker der Gruppe Midnight Blizzard war es gelungen, über einen Test-Tenant in das E-Mail-System von Microsoft einzudringen und dort gezielt die Mail-Konten von  bestimmten Microsoft Führungskräften einzusehen. Ich hatte im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert darüber berichtet. Auch dieser Fall wurde von Microsoft heruntergespielt (wir haben es gemerkt und sofort alles unterbunden).

Aber der Fall hat nochmals eine andere Dimension bekommen, da einerseits bekannt wurde, dass Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt worden war – ob es einen Zusammenhang mit dem Microsoft-Fall gibt, ist mir unbekannt. Und Microsoft musste vor wenigen Tagen eingestehen, dass Midnight Blizzard auch nach Januar 2024 in der Lage war, Angriffe auf das Unternehmen zu fahren. Ich hatte einige Informationen im Beitrag Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen offen gelegt.

Noch nicht im Blog aufgegriffen habe ich den erfolgreichen Angriff auf den International Monetary Fund (IMF), der vorige Woche Freitag bekannt wurde. Die Kollegen von Bleeping Computer berichteten hier, und beim Querlesen ist mir "die benutzen eine Microsoft 365 Cloud-basierende E-Mail-Plattform" ins Auge gesprungen. Ob es was mir dem Microsoft-Hack zu tun hat, ist natürlich offen.

Und dann gab es im Februar 2024 noch den erfolgreichen Angriff auf den US-Gesundheitsdienstleister UnitedHealthcare Group (UHG) bzw. dessen Tochter Optum mit dessen Change Healthcare-Plattform, die für Abrechnungen zuständig ist. Dort sollen nach einem BlackCat/AlphV-Ransomware-Angriff auch große Datenmengen erbeutet worden sein.  Auch hier ist mir unbekannt, was zum erfolgreichen Angriff beitrug. Bei heise greift man hier den Angriff auf den IMF sowie den britischen NHS auf, die Zahl der Cyberangriffe auf IT-Strukturen hat gravierende Ausmaße angenommen. Die Nervosität in diesem Bereich ist mit Händen zu greifen.

Stellungnahme von Tenable

Beim Schreiben meiner Blog-Beiträge ging mir "wie können die Kunden Microsofts so ruhig sein" durch den Kopf. Vorige Woche ging mir dann eine Stellungnahme vom Sicherheitsanbieter Tenable zu, die den Microsoft-Hack durch Midnight Blizzard als "strategischen Schlag" klassisfizieren, da Microsoft zugegeben musste, dass eigener Quellcode sowie „weitere Geheimnisse" kompromittiert wurden. Midnight Blizzard sei keine harmlose Bande von Kriminellen, sondern ein hochgradig professionelles, von Russland unterstütztes Team, das den Wert der Daten, die sie erbeutet haben, ganz genau kennt – und weiß, wie man diese Informationen verwenden kann, um maximalen Schaden anzurichten. Angesichts der Beziehungen, die Russland zu China und anderen strategischen Gegenspielern unterhält, könnte dies sehr schnell sehr problematische Folgen haben, war die Einschätzung der Tenable-Experten.

Tenable meinte, da Microsoft "allgegenwärtig ist", müsse man dort auch wesentlich strengeren Maßstäben an Verantwortlichkeit und Transparenz anlegen, jedenfalls sei Microsoft dem in letzter Zeit nicht immer gerecht geworden. Die Kernaussage: "Selbst jetzt teilen sie [gemeint ist Microsoft] mit uns nicht die ganze Wahrheit. So wissen wir beispielsweise nicht, welcher Quellcode kompromittiert wurde. Dass so etwas immer und immer wieder passiert, sollte uns allen sauer aufstoßen." Tenable weist darauf hin, dass es sich bei den Hacks nicht um isolierte Vorfälle handele. Das Fazit von Tenable lautete: Die fragwürdigen Security-Praktiken und irreführenden Aussagen von Microsoft sollen ganz bewusst verhindern, dass die ganze Wahrheit ans Licht kommt.

Amit Yoran, Chairman und CEO, Tenable, wurde aus einem Januar 2024-Statement so zitiert: "Wenn frühere Abläufe ein Indikator für das aktuelle und künftige Verhalten sind, dann wird es spannend sein, zu beobachten, ob auch diese Geschichte in den kommenden Monaten scheibchenweise ans Licht kommen wird. Auch wenn Microsoft die Ereignisse bis zu einem gewissen Grad als unwesentlich einstufen kann, fordern die SEC Cybersecurity-Regeln dennoch einen Dialog, und sollten auch auf die Entscheidung über eine Offenlegung ausstrahlen. Wir werden sehen, ob zu dieser Geschichte weitere Details publik werden – im Moment geht es mit winzigen Schritten in eine sicherere Zukunft. Ich habe explizit gesagt „Wir werden sehen, ob zu dieser Geschichte weitere Details publik werden", weil jeder, der aufmerksam hinsieht, erkennen kann, dass das Verhalten von Microsoft bei Cyber-Fragen konsistent einem Muster von Desinformation und Täuschung folgt." Das ist quasi die Bankrotterklärung in Bezug auf "wie viel Vertrauen können wir noch in Microsoft haben".


Anzeige

US-Behörden suchen Alternativen

Mir ist sind gerade Artikel unter die Augen gekommen, dass US-Behörden )und wohl auch Großkunden) sich wohl nach Alternativen zu Microsoft umschauen. Der Initiale Artikel ist bei The Information erschienen (nicht frei abrufbar), Golem hat es in diesem Artikel aufgegriffen und weist in nachfolgendem Mastodon-Post darauf hin.

Abwanderung aus der Microsoft-Cloud

Die geraffte Fassung: Das US-Außenministerium habe nach dem Storm-0558-Angriff damit begonnen, "seine Daten auf Server von Amazon (AWS) und Alphabet (Google Cloud) zu verlagern". Derzeit befände sich das US-Außenministerium zudem in der "Prüfung von Angeboten für einen IT-Vertrag" mit einem Auftragsvolumen von 10 Milliarden US-Dollar über sieben Jahre Laufzeit. Der Vertrag soll Cloud-Dienste, Produktivitätssoftware und Cybersicherheitstools beinhalten und mit der Microsoft-Konkurrenz verhandelt werden. Es heißt aber, dass das Ministerium nicht gänzlich von Microsoft weg geht, sondern mehrere Cloud-Anbieter haben will. Einfacher wird deren Verwaltung dann auch nicht werden. Es scheint, dass die Zeit, in der bei Microsoft "die Bäume in den Cloud-Himmel wachsen" enden könnte.

Kritik von Microsoft-Kunden am "Lock-in"

Kritik kommt auch von großen Microsoft-Kunden, die feststellen mussten, dass Entra ID als Identitäts- und Zugriffsmanagement von Microsoft nicht vollständig durch konkurrierende Lösungen von Anbietern wie Okta oder Cloudflare zu ersetzen seien. Dies wird aber benötigt, um darüber Office- oder Teams-Anmeldungen zu verwalten. Schwachstellen in Entra ID würden daher eine große Anzahl Kunden betreffen.

Eine Gruppe von Cloud-Infrastrukturanbietern in Europa (Cloud Infrastructure Providers in Europe, CISPE) hat Microsoft zudem kürzlich ein Ultimatum gestellt, berichtet The Register hier. Microsoft wurde aufgefordert, die "ungerechtfertigten Funktions- und Preisdiskriminierungen gegen den fairen Wettbewerb" zu beenden. Sollte sich die Praxis nicht ändern, droht CISPE mit rechtlichen Schritten. Hört sich an, als ob es etwas ungemütlich für den Microsoft-Vertrieb werden könnte.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Azure, Cloud, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen

  1. Daniel sagt:

    Von Microsoft zu Amazon und Google. Wo bitte ist das denn jetzt der Vorteil? Klar eine andere Firma aber ob es da viel sicherer ist wage ich mal zu bezweifeln.

    • Bernd B. II sagt:

      Google hat zumindest vor vielen Jahren bereits Zero-Trust umgesetzt. Microsoft ist wie beide beschriebenen Fälle beweisen ein (schwerreicher) Kindergarten.

  2. R.S. sagt:

    Der Fehler liegt doch schon im System:
    Wie können die US-Behörden ihre Daten einem Dienstleister in der Cloud anvertrauen, insbesondere, wenn es sich dabei um sensible Daten handelt?
    Und jetzt holen die 2 weitere Cloudanbieter mit ins Boot?
    Das ist doch geradezu ein Einladung für ausländische Dienste!
    Wenn die US-Behörden jetzt AWS und Google Cloud mit ins Boot nehmen ist es nur eine Frage der Zeit, bis auch die gehackt werden.

    Dieser Cloud-Wahn wird den Behörden und Firmen einmal das Genick brechen! Sie rennen sehenden Auges ins Verderben und reden das auch noch schön.

  3. Gigabernie sagt:

    "ob es einen Zusammenhang mit dem Microsoft-Fall gibt, ist unbekannt"
    "Ob es was mir dem Microsoft-Hack zu tun hat, ist natürlich offen."
    Alles zu wage…Vermutungen

  4. Fred sagt:

    von MS zu Google und AWS…. man könnte auch sagen "vom Regen in die Traufe" oder wollen sie nur den Teufel mit dem Beelzebub austreiben?

    • rpr sagt:

      Na ja,
      von so massiven Problemen wie bei MS hat man von AWS und Google noch nicht gehört.
      Entweder sind sie besser, so unbedeutend das man sie nicht angreift, so schlecht das sie es merken oder schaffen noch besser alles aus der Presse zu halten.
      Mal schauen wer schon alles Multicloud-Lösungen betreibt und wer jetzt richtig blutet.
      Gruß

      • Bernd B. sagt:

        Ich sehe die Herausforderung nicht, so lange man ausschliesslich sicher (clientseitig, 3rd-party) verschlüsselte Daten in der Cloud ablegt. Ist bei der Einrichtung ein einmaliger Zusatzaufwand (und beraubt natürlich des Webinterfaces) aber für den Anbieter ist es nur Datenmüll.
        Bei VPS sieht die Sache natürlich anders aus, da dann die Daten im Klartext beim Anbieter verfügbar sind (wenigstens in der VM und ein Snapshot ist schnell erstellt und exportiert), evt. könnte man für weniger sensitive Daten noch dedicated servers mit FDE nutzen (bedingt aber KVM-Zugriff für die PBA).

        • Luzifer sagt:

          vorausgesetzt deine Verschlüsselung ist sicher… wenn ein Angreifer allerdings deine Clouddaten abgreift, hat der alle Zeit der Welt die zu knacken, da du das ja gar nicht mitkriegst!
          Dringt der in deine Server ein muss er immer aufpassen nicht entdeckt zu werden…

          Daten auf Systemen die nicht dir gehören sind nie sicher! Verschlüsselt oder nicht spielt keine Rolle!

  5. Luzifer sagt:

    kommt in die Cloud haben sie gesagt… ist sicher haben sie gesagt… Tja wer nicht hören will muss fühlen! Mal ein paar richtige Big Player die an nem Hack bankrott gehen das braucht die Welt!

  6. michael sagt:

    War ja klar – WE TOLD YOU SO. Bis das bei den KMUs ankommt, haben die Chinesen, USA, usw. bereits alle Kronjuwelen im Sack. Ein Hoch auf die IT-Cloud-Entscheider. Ggf. muß man die Cloud schlicht im Kontext der Deindustrialisierung sehen. Wobei – weniger Unternehmen – weniger CO2 und wir müssen dann keine Schlauchbote aufblasen.

    Mal abwarten, ob es eine größere Cloud -> OnPrem Migration geben wird :-)

    IT ist Monkeybusiness.

    • rpr sagt:

      Das schlimme ist eigentlich das alles nicht neu ist.
      Von Tulpen über Öl für Lampen kann man aus der Wirtschaftsgeschichte immer ableiten in welche Richtung es gehen wird.
      Gruß

  7. Martin B sagt:

    Behördencloud in eigenen, abgeschotteten RZ und möglichst Web basierte Eigenentwicklungen müssen das Ziel sein. Wo kommen wir sonst hin?

    Wer erst mal drin ist, bekommt nun die Preisgestaltungsmacht von M$ zu spüren und das nicht zu knapp. Saftige Erhöhungen und Auslagerung von Scheininnovationen in zubuchbare Dienste sind doch der Standard und all das trifft auf wirtschaftlich schwierige Phasen bei einigen Unternehmen. Hier kann man aber eben nicht mal eine alte Version aussitzen und die Migration verschieben, hier darf man blechen bis der Arzt kommt, auch wenn die Einnahmenseite wegbricht.

    Das trifft natürlich Privatunternehmen zu Beginn, aber wenn die Steuern wegbrechen, eben auch Behörden und am Ende uns alle.

  8. Dirk sagt:

    An die Leute, die meinen "Vom Regen in die Traufe" zu fabulieren.
    AWS und Google Cloud, ich werde dergleichen niemals freiwillig einsetzen, genauso wie MS, bieten wie jeder anständige "Cloud"-Dienstleister nun einmal alles an, von der Webpage über virtualisierte dedizierten Server bis runter zum Rack und komplette Etagen, wo man Wahlweise eigene oder gemietet Hardware hereinstellt. Physischer Zugriff nur durch mehrere Sicherheitsschleusen, und teilweise auch mit bewaffneten und entsprechend ausgebildeten Personal.
    Was die Qualität und Fähigkeiten im Bereich Hosting angeht, dürften AWS und Google Cloud MS überlegen sein, da dies ihr absolutes Kerngeschäft ist, während bei MS im wesentlichen Windows, EXO, Tenants und Hosting ist. Und da am Ende des Tages MS die Sache mit den Tenants und Entra scheinbar nicht wirklich sicher hinbekommt und dies aber als "Gatekeeper" für seine sonstigen Cloud-Dienste nutzt, GN8.

    • rpr sagt:

      Das ist aus meiner Sicht genau der Punkt.
      Es. ist ein Unterschied ob du genau nur Cloudsysteme baust oder die Basis nur als Vehikel für alles drauf gesehen wird.
      Mal abgesehen davon das Qualität bei MS noch nie langfristig und ernsthaft als Verpflichtung gesehen wurde.

  9. Anonymous sagt:

    Undenkbar für die alternativlosen Lemminge hierzulande.

  10. Art sagt:

    Wo finde ich denn die erwähnte "Stellungnahme vom Sicherheitsanbieter Tenable"?

    Und ich finde auch Nichts von Amit Yoran aus Januar'24 – der Rant ist mMn aus August'23 (nicht dass sich bei MS seitdem irgendetwas verbessert hätte).

    • Günter Born sagt:

      Keine Ahnung, die Stellungnahme scheint nicht öffentlich zu sein. Die aktuelle Stellungnahme, die mir als Mail von ihm vorliegt, ist mit 12.3.2024 datiert. Und das ursprüngliche Statement soll vom 22.2.2024 sein (als der Vorfall bekannt wurde).

  11. Roman sagt:

    Da gibts nur einen Weg :-) Dezentralisierung -> On-Premises Software :-)

    • Martin B sagt:

      ja, aber nicht bei Behörden, das Klein-Klein bindet zu viele Ressourcen und Geld, da sind Aktenordner und Fax fast effizienter. Die benötigen Zentralisierung von Diensten. Oder macht es einen Unterschied, einen Pass in Hamburg oder in Stuttgart zu beantragen?

      • Roman sagt:

        Die Systeme müssen schon miteinander kommunizieren, aber fällt Hamburg aus darf nicht Stuttgart mit ausfallen. Kostet mehr Geld und Zeit, aber dieser public Cloud Wahnsinn bei Behörden muss aufhöhren. Da wird nur ausgelagert und eingespart, aber es wird mit Datensicherheit gespielt. Ich muss zugeben ich habe diesen Drang Daten, seien es die aus öffentlicher Hand oder teils sensible Unternehmensdaten, irgendeinem x-beliebigen Anbieter freiwillig in die Hände zu legen und somit einen großen Angriffspunkt zu schaffen nie verstanden.

      • Bernd B. sagt:

        Unter "on-prem" fallen ja auch eigene RZ, da ist dann die gewünschte Zentralisierung.

  12. janil sagt:

    Es kommt wie erwartet.
    Wenn "midnight…" die Daten ausgewertet und in seine "Schadsoftware" eingepflegt hat, dann, dann wird es erst richtig losgehen.
    So läuft es schon die letzten zwei Jahre, man brauchte nur die Angriffsmeldungen hier zu verfolgen, der Trend war da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.