[English]Es ist mal wieder eines der Microsoft "Opsies" passiert. Sicherheitsforscher sind auf Microsoft Azure auf einen ungesicherten Storage-Server gestoßen, auf dem interne Informationen über die Suchmaschine Bing von Microsoft gespeichert waren. Nun gut, auf dem frei von Jedermann abrufbaren Storage-Server lag nur so unwichtiges Zeug von Microsoft Mitarbeitern wie Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldedaten für den Zugriff auf andere Microsoft Datenbanken und Systeme.
Anzeige
SOCRadar ist ein Sicherheitsanbieter, welches Firmen dabei hilft, Sicherheitslücken und Fehlkonfigurationen aufzuspüren, scannt regelmäßig das Internet nach ungeschützten Servern. Die Sicherheitsforscher Can Yoleri, Murat Özfidan und Egemen Koçhisarlı von SOCRadar haben bei einer solchen Suche im Internet einen von Microsoft auf Azure gehosteten Storage-Server entdeckt, der öffentlich durch Dritte zugreifbar war. Als die Sicherheitsforscher genauer nachschauten, staunten sie nicht schlecht, wie sie Techcrunch verrieten.
Ungeschützter Microsoft Azure Storage-Server
Der Server enthielt zwar auf den ersten Blick nur interne Informationen im Zusammenhang mit der Suchmaschine Bing von Microsoft. Da dieser Server aber nicht durch ein Passwort geschützt war und von jedem Interessierten über das Internet erreicht werden konnte, schauten die Sicherheitsforscher genauer hin. Der Azure-Storage-Server enthielt Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldedaten, die von den Microsoft-Mitarbeitern für den Zugriff auf andere interne Datenbanken und Systeme verwendet wurden.
Techcrunch schreibt, dass die Sicherheitsforscher Microsoft am 6. Februar 2024 über die Sicherheitslücke informierten. Muss wohl ein Honeypot gewesen sein, denn Microsoft sicherte diesen Server am 5. März 2024 – oder der Wahlspruch lautete "Gut Ding will Weile haben". Aktuell ist unbekannt, wie lange der Cloud-Server frei im Internet erreichbar war oder Dritte abseits der SOCRadar-Sicherheitsforscher Zugriff auf diese Daten hatte.
Bei der Recherche habe ich gesehen, dass SOCRadar bereits im September 2022 einen Fall aufgedeckt hatte, wo durch eine Server-Fehlkonfiguration möglicherweise Kundendaten offen gelegt wurden. Microsoft hatte dazu in diesem Beitrag Stellung bezogen und beklagt, dass SOCRadar die Informationen offen gelegt habe. Und dann gab es 2023 noch den von SOCRadar aufgedeckten Fall, bei dem 38 Terabyte an Daten offen gelegt wurden – ich hatte im September 2023 im Beitrag Datenleck: Microsoft AI-Forscher verlieren 38 TByte an internen Daten über GitHub/Azure Cloud-Speicher berichtet. Böse Zungen meinen schon, Microsoft müsse den Begriff "Open Data" falsch verstanden haben.
Microsoft schweigt zum neuen Fail
Gut, niemand ist gegen eine Schwachstelle oder einen Konfigurationsfehler gefeit. Aber bei Microsoft sind solche "Fehler" inzwischen wohl an der Tagesordnung. Im Juli 2023 wurde bekannt, dass mutmaßlich chinesische Hacker der Gruppe Storm-0558 einen Microsoft-Konto (MSA)-Kundenschlüssel erbeutete hatten und mittels dieses Schlüssels Tokens zum Zugriff auf Azure-Cloud-Konten generieren konnten. Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt berichtet und den Fall in weiteren Blog-Beiträgen nachgezeichnet. Bis heute weiß Microsoft nicht, wie die Hacker an den (MSA)-Kundenschlüssel heran kamen.
Im Januar 2024 wurde bekannt, dass die mutmaßlich russische Hackergruppe Midnight Blizzard seit November 2023 ein Konto auf einem Testsystem durch Password-Spraying-Angriffe knacken konnten. Über dieses Konto gelang es, vom Testsystem auf das interne Mail-System von Microsoft zuzugreifen und die Mails von Führungskräften sowie weiteren Mitarbeitern mit zu lesen (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert).
Dabei müssen auch Kennwörter und andere vertrauliche Informationen abgegriffen worden sein. Denn Microsoft musste eingestehen, dass die Hacker von Midnight Blizzard Zugriff auf Quellcodes von Microsoft hatten und auch nach der Entdeckung und angeblicher Aussperrung wohl weiterhin Zugriff auf die Systeme hatten oder diesen versuchten (siehe Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen).
Der oben skizzierte Vorfall ist da nur das Tüpfelchen auf dem i, das bestätigt, dass Microsoft ein "schlamperter Laden ist", um den man besser einen großen Bogen machen sollte. Gut, war jetzt unfaire Dialektik – aber es ist höchst offiziell: Das US Cyber Safety Review Board wurde auf Grund des Storm-0558 Hacks aufgescheucht und hat eine Untersuchung des Sicherheitsvorfalls durchgeführt. Der vor wenigen Tagen veröffentlichte Bericht offenbart, dass Microsoft die Sicherheit nicht im Griff hat und eine Kette von Fehlern den Storm-0558 Cloud-Hack erst ermöglichten (siehe Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich). Die Empfehlung an Microsoft lautete, den eigenen Laden erst einmal auf Vordermann zu bringen, bevor man an neue Entwicklungen geht. Mir geht da das halbfertige Copilot durch den Kopf, der als neue Sau durchs Dorf getrieben wird.
Gegenüber TechCrunch gab SOCRadar Sicherheitsforscher Yoleri zu bedenken, dass die bei diesem Vorfall offengelegten Daten böswilligen Akteuren dabei helfen könnten, andere Systeme auf denen Microsoft seine internen Dateien speichert, anzugreifen. Die Identifizierung dieser Speicherorte "könnte zu größeren Datenlecks führen und möglicherweise die genutzten Dienste gefährden", so Yoleri. Techcrunch hatte bei Microsoft um eine Stellungnahme gebeten. Aber Microsoft schweigt bisher – auch eine altbekannte Taktik aus Redmond, die im Bericht des US Cyber Safety Review Board explizit gerügt wurde. Aber wie pflegen unsere hochdotierten Entscheidungsträger zu argumentieren: "Das Ganze ist doch alternativlos – und Millionen Fliegen können nicht irren, auch wenn sie auf Scheiße landen." In den USA scheinen aber erste Köpfe aufzuwachen, wie ich im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen erwähnt habe. Es wird noch spannend, wir bleiben dran.
Anzeige
Ergänzung: Es gibt einen Folgeartikel Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter)
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich
2015
Popcorn-Kino. So wirklich sicher kann man Azure wohl auch nicht machen, dann läßt man am besten gleich die Tür offen. Aber erzähle das mal den bekifften IT-Entscheider:innen.
Selbst wenn du dich als IT-Endscheider da gegen entscheidest, wird dein Vorgesetzter + sein BWL Lemming mit bunten Grafiken dafür sorgen, das es dennoch gemacht wird, was dazu führt das du etwas ausrollen darfst/musst, von dem du nur abraten würdest.
Erst wenn es zum Vorfall kam, werden die meisten WACH, schade das es dann nur, für das ein oder andere Unternehmen, zu spät sein kann.
> Vorgesetzter + sein BWL Lemming
Bei aller Schelte wollen wir aber nicht vergessen, dass die IT'ler durch hemdsärmlige Praxis jahrzehntelang selbst dafür gesorgt haben, dass Informationstechnik nicht wie Kesselbau als Ingenieursdisziplin wahrgenommen wird, sondern als Thema, bei dem bald jeder seinen Senf dazu geben und entscheiden darf.
Wer von den Verantwortlichen in D bzw. der EU den Schuss nicht gehört hat, wahrscheinlich sind es die Chefs die nur auf die BWler (alles in die Cloud) hören, der hat es nicht besser verdient, wenn eventuelle technische Entwicklung vor Patentanmeldung irgendwo im Ausland auftauchen. Nur mal so als Beispiel und das ist meine Sicht auf diese Vorgänge.
Dann darfst du gar nichts mehr einsetzten. Also kein HP, Cisco; Citrix, Ivanti, 3CX, AWS, Google Cloud Dienste, Barracuda…
wurde alles schon erfolgreich angegriffen – und jetzt?
Solange die Genannten OnPrem sind und unter eigener (kompetenter) Kontrolle spricht nichts dagegen, die Hersteller zu verwenden.
Alles was in der Cloud liegt, entzieht sich jeder direkten Kontrolle und Konfigurierbarkeit; und die MS-Klaud insbesonders ist die unsicherste Klaud-Lösung.
Ich denke viele der KMU blasen ihre Daten in die Wolke, weil es da sowieso nichts intellektuell relevantes zu holen gibt.
Innovationen kommen eher aus China.
immer schön Whataboutism. wie immer bei Euch Fanboys :-)
wie kann man auf der anderen Seite Fan von etwas sein,was es nicht gibt?
Ich stelle nur fest. Das hat mit Fanboy nichts zu tun. Auch Ihr solltet über den Tellerrand blicken und feststellen, dass NICHTS sicher ist – auch nicht on-Prem . Gegen 0-Day ist nahezu jeder machtlos. Das Konzept 0-Trust mag hier der richtige Ansatz sein, aber 100% gibt es nicht.
Bei den M$ Klaud-Löchern geht es aber NICHT um 0-days, sondern um systemisches Versagen, was niemand Externes kontrollieren kann.
OnPrem gibt es jemand mit Verantwortung, der sich schon alleine deshalb sehr darum bemüht, die Systeme sicher zu halten. Gibts halt nicht für nur 60k Euro im Jahr bei 50h die Woche ohne Brotkorb.
Aber da viele keine Verantwortung übernehmen wollen oder können, kauft man sich diese dann eben für 30 Silberlinge irgendwo ein. Und dann hat man da noch die Cyber CyberVersicherung – für alle Fälle – die dann hoffentlich nichts bezahlt – da dumm fahrlässig.
Es wird Zeit, daß M$ direkt in Haftung genommen wird mit Milliarden-Strafzahlungen bis hin zur juristischen Zerschlagung dieses Ladens inkl. gerne auch Haftung mit dem Privatvermögen der Gesellschaftsführer.
Gegen Fehlkonfiguration – von Cloud und OnPrem – muss aber jeder selbst was tun. Und da ist es egal, welches Produkt man einsetzt, Windows, Linux, was auch immer. In Standard-Installation ist das alles nicht sicher, manches ein bisschen mehr, manches ein bisschen weniger, aber wenn der richtige Hacker vorbeikommt, ist das alles kein Problem. Es liegt an dir, an mir, an uns allen, an euch, den Krempel sicher zu machen, egal was es ist.
Aber da sind die MSler (sowohl die Angestellten wie auch die Kunden) schon sehr weit führend, was Fehlkonfiguration und Inkompetenz bei den eigenen Lösungen angeht.
Und du glaubst, die Weißheit mit den Löffeln gefressen zu haben, oder überlässt du das alles einem Dienstleister?
weniger MS = mehr Sicherheit ;-)
Ja 100% Sicherheit gibt es nicht, aber 99% reichen auch aus ;-P und die sind OnPrem schaffbar!
Aber he whoe cares? Es steht jedem frei zu versagen, aber dann hört auf rum zu jammern!
99%? Nein, dann habt Ihr keine Benutzer :-)
Nö, sondern nur sehr restrektiv ;-P
oder anders ausgedrückt sicherheitsbewusst ;-P
Das fängt schon damit an, das keine Mails ungeprüft und direkt bei der Tipse aufschlagen müssen! usw.
Privates auf Firmen IT absolut nix verloren hat inkl. Three Strikes Regelung.
Wer setzt denn bitte noch Ivanti ein? :) – der muss schon komplett hinter dem Mond leben. Gilt btw. auch für Barracuda, auch so ein Hersteller den jeder aus seinem Portfolio verbannen muss.
Wer bei seinem Netzwerkequipment das Cloudmanagement nutzt, sollte sich mal besser einen anderen Job suchen, ist nicht in der Lage mit dem Equipment umzugehen (das gilt auch für aktive "Webinterfaces" bei Switchen & Routern, die Nutzung zeugt von absoluter Inkompetenz).
Bzgl. Citrix, einfach nicht mehr den Netscaler oder ein anderes Portal mit dem "nackten Hintern" ins Netz hängen, VPN vorschalten und man reduziert den Angriffsverktor erheblich.
Es gibt keine 100% Sicherheit, auch wenn alle auf M$ rumhaten (ja mach ich auch gerne :-) ), wenn z.B. Linux einen Marktanteil von >80% hätte, was denkt Ihr denn wie viele "Admins" dem Benutzer einen Root Zugang einstellen damit bei Bedarf selbst installieren und ausführen können, soooo viel anders würde es dann auch nicht laufen, das ist wunschdenken.
Es wird immer irgendeine kack Softwarebude geben die eine Spezialanwendung programmiert die an jedem Sicherheitsstandard vorbei arbeitet (bspw. Steuerungsprogramme für irgendwelche Steuerungen an Maschinen). Und so lange Softwarehersteller nicht für Ihren "Mist" verantwortlich gemacht werden, wird sich das auch nicht ändern – egal ob auf MS, Linux oder MacOS.
Und nein, M$ Cloud ist nicht die unsicherste, ist nur diejenige wo es momentan auffällt :-). Es gibt noch massig Unternehmen die MFA bewusst deaktiveren und viele Möglichkeiten zu Absicherung aus Bequemlichkeit nicht einrichten oder bewusst abschalten weil es unbequem ist.
Danke Joerg, genau so sehe ich es auch.
Jein,
die Frage muss schon gestellt werden ob AWS und Google nicht ggf. schon mit einem anderen Mindset ran gegangen sind als sie ihre Clouds aufgebaut haben.
Man darf nicht vergessen das es ein Teild er DNA von Microsoft ist in Sachen Sicherheit zu versagen.
Scanner & Drucker mit Adminrechten in den 90ern waren auch damals schon nicht sinnvoll und die Liste von fails lässt sich weiter verängern bis hin zu "wir setzten Securityteams an die Luft".
MS will einfach Geld verdienen. Da ist Sicherheit als Kostenfaktor einfach nur hinderlich.
Machen andere auch aber dann greifen eher mal Haftunsgrecht und andere Hürden bevor es zu exzessiv wird.
"die Frage muss schon gestellt werden ob AWS und Google nicht ggf. schon mit einem anderen Mindset ran gegangen sind als sie ihre Clouds aufgebaut haben"
Das wissen wir nicht – spekulativ
Selbst denken und Schlüsse ziehen ist ein legitimer Ansatz für Menschen.
Nein, nicht spekulativ.
Windows ist "erstmal alles erlauben und der Anwender muss dann ggf. einschränken, wenn man es korrekt absichern möchte, dann bitte nur mit additiver Lizenz!"
Linux: "wir blocken erstmal alles, soll der Nutzer mal brav alles selbst freigeben!"
Das sind schon essentielle Unterschiede in der Herangehensweise.
Auch VPNs sind knackbar. Also, wo willst du anfangen? VPN vor VPN vor Netscaler? Lachhaft!
Macht eure Arbeit, spielt Updates SEHR zeitnah ein, und dann passiert auch nix. Bei Systemen die Online sind, hilft nur Monitoring, Geoblock (gegen Schurkenstaaten, dubiose Serverhoster, usw.), Update, usw. Unser Netscaler funzt noch, und durchs Monitoring (Syslog-Auswertung) haben wir inzwischen eine ganze Reihe Länder, Schurkenprovider usw. ausgesperrt, so dass momentan nicht mal simple Passwortspraying-Attacken gesehen werden.
Schurkenstaaten Schurkenprovider aussperren, das ist natürlich der ultimative Sicherheitstipp.
Macht euere Arbeit, betreibt Systeme offline statt dem Cloud Traum hinterherzurennen.
Also kein Homeoffice mehr? Externe Dienstleister müssen wieder mit ihren Benzinkutschen vor Ort anrücken?
Willkommen in 1985!
Gut, du hast es nicht gelesen. In meinem Post bezog sich der Einsatz vom VPN wenn man den NS nackt im Netz hängen hat, das wird oft für das XenApp Portal so eingesetzt, damit man direkt mit dem Citrix Client die App starten kann, ohne vorher VPN einzuschalten.
Schön das Ihr "Schurkenstaaten" bannt, denke damit sind dann auch die USA raus bei euch und Ihr habt definitiv kein Internationales Geschäft: herzlichen Glückwunsch. Wir haben allerdings Servicetechniker und Vertriebler die Quer durch Asien, Südamerika, Afrika usw. reisen, da wird es dann schon schwer.
Und btw. die meisten "Angriffe" kommen nicht aus China und Russland, die nutzen Proxys. Die meisten Spray-Angriffe kommen aus der EU und Nordamerika.
Updates zeitnah einspielen ist sowieso Pflicht, aber damit hat man oft Probleme (nein nicht nur bei M$ auch bei anderen) die dann auch behoben werden müssen (siehe Exchange Update 2024-03: Probleme mit der Suche usw.)
Auf einen Citrix-Netscaler werden die wenigsten aus einer Serverfarm bei einem Provider zugreifen, und es gibt berühmtberichtigte Provider, wo man relativ anonym Server oder IPs mieten kann, einmal einen entsprechenden Treffer im Log, per Whois den ganzen Subnetbereich sperren und gut ist. ich nenne mal limenet.io als abschreckendes Beispiel, die wissen nicht mal selbst, wohin sie ihre IP-Blöcke am Ende hin verkaufen. Theoretisch könnte man bei einem Netscaler auch prophilaktisch IP-Bereiche aus dem Serverhosting von Hetzner, Strato, OVH, usw. sperren, von dort kommen normalerweise keine interaktiven Nutzeranmeldungen auf eine Citrix-Umgebung, sondern höchstens Scriptkiddies. Und bei Netscaler geht es (bei uns) weniger um Kunden, sondern um Mitarbeiter und Zulieferer/ext. Support, und ja, die connecten auch aus den USA oder Japan. Aber weder aus Russland, Belarus, China, Nordkorea und Iran, also weg damit. Aber dorthin verkaufen wir auch nichts.
"spielt Updates SEHR zeitnah ein, und dann passiert auch nix"
Klar, und irgendein 0-day erwischt einen dann doch. Man kann nicht behaupten, dass nix passiert, wenn alle Updates eingespielt wurden. Da wiegt man sich in "falscher" Sicherheit.
Zig 0-days haben ihn und viele andere bereits erwischt (manche kamen sogar out-of-the-box), schlummern aber noch unentdeckt.
Merke: Die erkannten aufgeflogenen Hacks sind die schlechten…
Wer weiß, wieviele xz-artige Backdoors schon in diversen VPN-Lösungen stecken? Wenn du davor Angst hast, und ja, solltest du, dann bleibt eigentlich nur, sämtliche Verbindugen zum Internet komplett zu kappen. Datenaustausch wieder per Diskette, viel Spaß. Und selbst auf Disketten gibts Viren!
Check, Nagel auf den Kopf getroffen.
Wie wäre es mit einfach Systeme lokal betreiben? Ohne HP, Cisco; Citrix, Ivanti, 3CX, AWS, Google Cloud Dienste, Barracuda…
Ohne Internetverbindung, zurück in die 1980er? Diskette? Fax? Fernschreiber? Achnee, das ist ja auch schon "online"… Wie lange wirst du das durchhalten? Ich hab damit Erfahrung, ich bin immerhin Mitglied im VzEkC eV. und die meisten Computer die ich daheim habe, haben nichtmal Netzwerkanschluss, Kommunikation über Nadel/Typenraddrucker. Aber damit heute noch ernsthaft arbeiten? Geschäftlich bist du da heutzutage ganz schnell weg vom Fenster.
Lokal bedeutet ja nicht ohne Internetanschluss!
Nur muss man ja nicht alles ins Netz hängen, meine Fertigungsmaschinen haben im Internet nix zu suchen! Auch braucht nicht jede Tipse direkten Internetzugang, Der Datenbankserver hat im Internet auch nichts verloren… braucht nen Außendienstler mal Zugang geth das über nen gesicherten VPN Zugang. usw.
/Edit/ Wenn man dem Cloud Irrsinn wiederstanden hat braucht sogar recht wenig direkten Internetzugang!
Irgendeinen Rettungsanker muß man ja haben, wenn einem seine Passwörter nicht mehr einfallen. Gut, daß M$ da so mitdenkt…
schlampige Systeme tummeln sich überall, der Unterscheid besteht darin, einige sind abgeschottet hinter der Firewall, Azur ist davor.
Open Access neu definiert.
Mal schauen, wie die Fanboys das wieder schön reden…
Seht zu, dass Ihr wegkommt von dem Schrott!
Bei diesen ganzen Abhängigkeiten ist doch nur noch die Frage,
nicht ob es irgendwann knallt, sondern wann es knallt.
Wann fällte uns allen diese völlig kaputte IT auf die Füße?
Getrieben von der unendlichen Gier des Kapitalismus und des kurzsichtigen Denkens in Quartalen,
kann es doch nur zum großen Crash kommen.
Andere, mit sehr langem Atem, lachen sich da schlapp.
Ist ja alles egal, nach "mir" die Sintflut!
Heute stimmen doch die Zahlen und was morgen kommt, …
sehen wir dann.
Dann wenn uns der Kapitalismus auf die Füße knallt ;-P
Nach mir die Sinflut… vollkommen legitim, den wir sind alle nicht unsterblich und jeder ist für sich selbst verantwortlich!
Sehr kurz, und auch egoistisch gedacht!
Was ist mit meinen Enkeln?
Oder anders, was ist mit den Deinigen?
Haste keine? Sehr, sehr egoistisch!
Und meine Meinung, Egoisten gehören aus dem Sozialen Gefüge einer Gesellschaft
ausgeschlossen! Sollen sie doch sehen, wo sie bleiben.
Mist, da bin ich Dir auf den Leim gegangen.
Apropos Abhängigkeiten: M$FT schrob in den MSKB-Artikeln zu den am Dienstag veröffentlichten Aktualisierungen ihres .NET Framework genannten SCHROTTs folgenden vielsagenden Hinweis:
| .NET Framework Defense in Depth Vulnerability
| This security update addresses an issue where version of the
| OSS zlib library is out of date.
Danach lesen ALLE Windows-Nutzer den 2017 veröffentlichten MSDN-Artikel https://learn.microsoft.com/en-us/dotnet/framework/whats-new/ mit folgender Aussage
| The .NET Framework 4.8 version of clrcompression.dll is updated to use ZLib Version 1.2.11, …
sowie https://zlib.net/ChangeLog.txt
Anschliessend setzt ihr euch STABIL hin und schaut in den ZILLIONEN Kopien der clrcompression.dll auf euren Windows-Installationen nach, welche Version der zlib M$FT dort jeweils verfrickelt hat, und vergleicht das Datum der Veröffentlichung dieser zlib mit dem Baudatum der clrcompression.dll (Differenzen von 6 Jahren sind NORMAL)!
Solche bodenlose SCHLAMPEREI kennt bei M$FT keine Grenzen, und ihr eigenes Mantra "keep your systems up-to-date" befolgen diese VOLLIDIOTEN nicht!
Meine Güte!
Man sollte eigentlich meinen DIE hätten mehr Ahnung von der Materie.
Das ist der springende Punkt, verdienen Millarden und machen fehler wie ne kleine 3-Mann Klitsche…sorry aber dafür hab ich dann kein Verständnis mehr.
"Das Ganze ist doch alternativlos – und Millionen Fliegen können nicht irren, auch wenn sie auf Scheiße landen."
Natürlich ist das wirklich peinlich für MS, und man könnte das als einen "Systematischen Fehler" bezeichnen, aber nicht unbedingt in der eingesetzten Produktauswahl, sondern bei der Sicherhstellung der Einhaltung der eigenen "Security Best Pracizes" die man beim Aufsetzen von Servern einhalten muss.
Das ist wie bei einem Haus-Neubau, erstmal stehen nur die Wände und es sind noch keine Türen und Fenster eingebaut. Einbruchssicherheit ist das, was man dann macht, oder nicht, das ist aber nur bedingt von dem beim Mauern verwendeten Mörtel und Steinen abhängig.
Der erste Satz bezog sich auf das Angebot Microsofts als first class Cloud-Provider der Kundschaft eine sichere Arbeitsumgebung bereitzustellen. Nun zeigt sich – zum wiederholten Mal – dass die Security-Kultur dort unterirdisch sein muss. Und genau das Argument "sichere Arbeitsumgebung, die wissen, was sie tun" ist doch hier im Blog aus der Leserschaft sehr häufig als Argument für "wir setzen auf Azure/MS365, ist alternativlos" gefallen.
Wenn ich einen Azure-Tenant bestelle, muss ich den auch selbst richtig absichern. Das ist alles andere als trivial, und wenn ich einen oder mehrere Linux-Server irgendwo hosten lasse, wo sie eine öffentliche IP bekommen, muss ich da genauso Hand anlegen, und das Ding nach allen Regeln der Kunst dicht machen. Das ist da egal, was ich einsetze, ich/du/er/sie/es/wir/ihr/sie müssen da die gestellten Hausaufgaben machen. Das macht letztendlich wirklich keinen Unterschied.
Siehe oben, die Windozklickibuntufreaks sind halt nicht die Kompetentesten…
Und du glaubst, außerhalb der Microsoft-Welt ist jeder topfit und macht 100% gut Systemhärtung und das Ding funktioniert dann auch immer noch wie angedacht?
Kompetenter als du dürfte er auf jeden Fall sein, aber das ist auch nicht wirklich ne Kunst.
Außerhalb der Microsoft-Welt kommt keiner auf die dumme Idee, Millionen Kunden in ein einziges Softwarepamphlet einzubinden und dann noch dafür zu sorgen, dass es scheiß egal ist, auf wie viele Server und Storages die Kunden verteilt werden.
Fitter als die gänigen MS Frickler auf alle Fälle.
Davon ab sind die System per Design idR nicht offen wie die Scheunentore.
Doch, es macht einen gravierenden Unterschied, ob ich die volle Kontrolle über meine System habe, die ich absichere, oder ob ich irgendwas bei einem Dienstleister bestelle, der dann den Generalschlüssel offen rumliegen lässt und nicht mal merkt, wenn fremde Leute durch sein Wohnzimmer spazieren. Im letzteren Fall hilft Dir all Dein Wissen und all Deine gemachten Hausaufgaben nämlich nicht.
Geht man nicht genau deswegen in die Cloud damit man das ganze Security Theater in dem Umfang nicht mehr selbst machen muss?
Aber wieder M$: erstmal alles offen stehen lassen und dann den Kunden dafür verantwortlich machen, dass man nicht alles abgesichert hat. M$ "Security Ansatz" ist einfach nicht existent (bzw. katastrophal schlecht), das beweisen die immer wieder aufs neue.
Ich bin mir ziemlich sicher das du die ganze Zeit nur trollst, so blind kann man nicht sein, wobei. Du wärst sicherlich früher auch einer der sich radioaktiven Schmuck gekauft hat, weil es "in" war und weil es alle so gemacht haben. Oder sich brav Asbest-Beton hat verbauen lassen, weil es alle gemacht haben.
Alternativlos ist ja erstmal gar nichts, (Allianz bestes Beispiel -> kein Mainframe mehr) aber die konkrete Ausarbeitung der Alternative endet häufig in einem XXL Berg, den es zu bezwingen gilt, da dass aber häufig sehr Schulungs-/Personal-/Budget-Lastig ist, wird am Ende doch wieder die preisgünstige klicki bunti Lösung genommen. (Bottom -> Top Modell eben)
oder z.B. C/C++ Null Reference Thematik, 44 jahre hat es gedauert bis sogar dem Erfinder aufgefallen ist, das die Idee doof war, das bügelt man heute nach mittlerweile 60 Jahren nicht mal eben aus, da quasi 99% darauf aufgebaut wurden.
Ergo werden die Gesetzte angepasst und alles strenger ausgelegt, um möglichst viele mögliche Ausbreitungswege im Worst-Case zu unterbinden.
Ich sag nur NIS2 / CRA / RED / etc…. 19 Direktiven auf EU Ebene, 2024 und folgejahre dürften sehr verändernt werden.
ich kann mir ohnehin kaum vorstellen, dass irgendjemand beim Betrieb von M365/Azure überhaupt noch den Überblick geschweige denn Durchblick hat.
Cloud first heißt, so viel bezahlte Abos wie möglich zu verticken.
Der Rest ist zweitrangig.
Wenn es Storm oder Midnight-Blizzard nicht absaugen, dann vereinnahmt die KI die Kundendaten. Dazu gab es gerade einen schönen Artikel auf Welt Online, den KI Engines dieser Welt gehen langsam die Daten aus, da sind doch die Kundendaten in den Cloudabos ein begehrenswertes Ziel.
Den Überblick haben auch viele verloren, die ihre Systeme ausschließlich Onprem betreiben. Ein versehentlich offen gelassenes Anmeldeportal der Firewall auf einer Public-IP reicht. Everyone-Shares kann es auch auf einem lokalen angeblich supoerdupersicheren Linux-SMBV4- oder NFS Server geben, wo dann der ganze wichtige Shice von einem Schädling abgegriffen und verschlüsselt werden kann. Das ist völlig egal, ob OnPrem oder Cloud, Updates, Updates, Updates, alles dokumentieren, dokumentieren, dokumentieren und die Security Best Practizes einhalten, einhalten, einhalten und dann ist man ziemlich sicher. Einen 100% Schutz gibts sowieso nicht, notfalls ziehen die mit einem Panzer die schwere Sicherheitstür am ultragut gesicherten OnPrem-Neubau einfach weg. Also, erst garnicht bauen, zurück in die Höhle ohne Tür? Der Panzer könnte demnächst in der IT der Quantencomputer sein, der alle Passwörter knackt, bei OVH in Frankreich kannst du schon Zugang zu einem mieten.
Du vergisst aber eine kleine Tatsache!
Onprem, wie Du es nennst, bin ich für die Datensicherheit zuständig und haben auch die Möglichkeiten dem nachzukommen.
Daten und/oder Dienste in Azure, bin ich zwar auch, per Gesetz/Verordnung
für den Datenschutz zuständig, jedoch habe ich mangelnder Datenhoheit
überhaupt keine Handhabe, dem nachzukommen.
Und was bei solchen Diskussionen ständig ausgeblendet wird,
ist die Tatsache, dass Azure gehackt wurde und MS bisher nicht
geschafft hat, die Lücken zu schließen und sich jene Hacker immer
noch auf deren Systemen herumtreiben.
Dazu gesellen dann auch noch andauernd solche eklatanten Gaus,
dass Passwörter zu zig MS-Diensten und Server frei zugänglich sind.
Und verdammt, lass doch bitte das andauerte "Whataboutim".
Wenn man Dich so "liest", sollte man am besten gleich von der Brücke springen, denn sterben tun wir ja sowieso irgendwann.
Oder Putin auffordern endlich nach den Worten Taten folgen zu lassen.
Schmeiß endlich die A-bombe, damit wieder Ruhe herrscht.
Wer kann sicher sagen, dass nicht bereits ein Hack auf seinem System stattfindet? Hierfür benötigst du gewisse Sensoren/Software, die Anomalien erkennen. Wird das alles auch eingesetzt oder lebt man von der Hoffnung, dass man dies schon erkennen wird?
Hacker benutzen legitime Software oder Tools für WIN und Linux.
Mira, kannst du mal bitte versuchen, etwas entspannter zu antworten. Du kannst auch falsch liegen, oder?
Ich sehe schon, Fanboy und des Lesens und Verstehens nicht mächtig!
1. Gesicherte Unsicherheit! (Azure)
2. Mögliche Unsicherheit. (Alles andere)
Wird Dir nun der Unterschied bewusst?
Wenn nicht, dann hüpf halt unwissend in die Kiste.
Was ist bei deiner Erziehung nur falsch gelaufen?
Kannst Du auch ohne Beleidigungen, TBR? Oder rastest Du immer gleich so aus?
Und sie bauen in legitime Tools gezielt Backdoors ein. Siehe jetzt xz, dort ist es durch puren Zufall gerade noch aufgefallen. Wer weiß, bei wievielen anderen Projekten die selben Akteure gleichzeitig erfolgreich waren, und das wurde nicht entdeckt. Letztlich kannst du nicht mal mehr Opensource-Software vertrauen – konnte man eigentlich noch nie, denn dazu muss jeder der den Code lesen könnte, den auch noch verstehen können. Die ganze Argumentationskette ist spätestens mit xz in sich zusammen gebrochen. Dass bei xz nichts schlimmeres passiert ist, ist purer Zufall.
Sie ist aber aufgefallen. Kleiner Hinweis: Microsoft hat vor Jahren sein Securityteam entlassen. Da fällt also gar nicht mehr systematisch auf.
Nutz Microsoft weiter aber verschon uns bitte mit einseitiger Darstellung von Sachverhalten. Das beleidigt die Intelligenz der meisten Leser hier.
MS hat kein Security-Team mehr? In was für einer Welt lebst du? Achtung, jetzt wirds schmerzhaft…
https://www.spiegel.de/netzwelt/web/hintertuer-in-xz-knapp-am-computer-gau-vorbei-a-32ea6693-7ff7-4825-8dcb-b2dbbfe8c30c
Ziat aus dem ersten Absatz:
Im März macht der Microsoft-Entwickler Andres Freund in San Francisco eine merkwürdige Entdeckung. Während er einige Softwaretests durchführt, hat sein Computer kurzzeitige Aussetzer:
Zitatende. Autsch!
https://www.bleepingcomputer.com/news/security/microsoft-discovers-critical-rce-flaw-in-perforce-helix-core-server/
Autsch!
https://www.microsoft.com/en-us/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/
Autsch!
https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html
Autsch!
usw.
Und jetzt müssen schon die Sicherheitsexperten von Microsoft in Linux aufräumen.
@1ST1, ist dir das nicht selber langsam peinlich, dass du die Vorteile von OpenSource (jede/r kann reinschauen und analysieren) ins Gegenteils versuchst zu verkehren wie ein trotziges Kleinkind?
"Daten und/oder Dienste in Azure, bin ich zwar auch, per Gesetz/Verordnung
für den Datenschutz zuständig, jedoch habe ich mangelnder Datenhoheit
überhaupt keine Handhabe, dem nachzukommen."
Das stimmt nur zum Teil, denn auch das Cloud-Ding musst du absichern. Und viele Cloud-Dienste sind auch verschlüsselt, so dass der Anbieter selbst nicht an die Daten heran kommt, unter anderem bei entsprechend (teuerer) Lizenz auch bei Microsoft. Da gibts dann keine Hintertür, du musst aber dafür sorgen, dass auch die Vordertür auch zu ist.
https://learn.microsoft.com/en-us/azure/security/fundamentals/encryption-overview
Wissen nicht alle, dass es das gibt.
Cloud Act, wissen nicht alle, dass es das gibt.
Auch der Cloud Act hilft bei verschlüsselten Tenants nicht.
Wie naiv will man sein?
Selbstverständlich gibt es Generalschlüssel für alles, überall. Steht evtl. nur nicht in der Doku…
Seit mind. 20 Jahren predige ich, dass die Cloud nicht sicherer ist, als on premise, sondern DAS Ziel sein wird/ist.
Sobald eine Firma, die Cloud als "die Lösung" entdeckt hatte, war ich weg. Keine interne Experten, aber Vertrauen in gesichtslose "Experten" bei Microsoft/Amazon/Google/etc.
Wenn ich mit Ex-Kollege spreche, sind fast alle wieder zurück on-prem, aber dafür Jahre an sinnloser Zeit vergeudet, die Dinge in den Griff zu bekommen.
99% Verfügbarkeit? Das sind 87 Stunden möglicher Ausfall. Also 11 volle Arbeitstage. Oder an 87 Tage jeden Tag eine Stunde offline. 99,9% sind knappe 9 Stunden oder 36 Tage mit jeweils 15min über den Tag verteilte Ausfälle. Wollte keiner hören. Bis sie dann alle paar Minuten aus den System geworfen wurden und das innerhalb der 99.9% lag. Tja, Pech. Eine interne IT muss sich drum kümmern. Dem Cloud Provider ist da herzlich egal, ist ja alles innerhalb des SLAs (1:1 so passiert bei Google).
Datenverlust? UN-MÖ-GLICH! Wird doch alles mehrfach gespiegelt. Ja, inklusive Fehler und falsch konfigurierter Hardwarekomponenten.
Angriffe? NIEMALS! Ist doch super sicher in super-duper sicheren Rechenzentren. Klar, wer sich einreden mag, dass ein riesiges Ziel voller Daten sicherer ist als ein kleines unscheinbares Unternehmen.
Und seit gut 10 Jahren sage ich: die IT wird sich komplett ändern. In Core-Systeme ohne Internetzugang. Nicht von außen angreifbar. Und in Kommunikationssysteme für User. Anfangs wird man da eine VM auf Hardware laufen lassen um die Trennung zu erzeugen, am Ende wird man 2 Rechner haben: intern und extern. Genau wie Banken das übrigens seit langer Zeit machen.
Denn 99% aller erfolgreichen Angriffe passieren durch Klicks durch User. Und diese sind nicht daran schuld, sondern dass das Management meint, jeder User muss zu jeder Zeit jede Webseite erreichen können, weil sie und die Chefsekretärin das auch können MÜSSEN! Wie sonst Privatflüge, Luxusartikel und Urlaube buchen, im Casino spielen und Crypto-Traden als übers Fimennetzwerk mit der Firmen-Email!?!?
Und das ist keine Übertreibung: der Großteil der Leaks bezieht sich in den von mir gesehenen Reports auf die E-Mailadressen von Führungskräften, genau mit diesen Hintergründen (Onlinecasino etc). Und genau diese verweigern dann die Teilnahmen an Security Trainings….
Irgendwann werden aber die Schäden so hoch, dass man dafür doch lieber den private Mac nutzt und das Firmennetzwerk komplett abschottet. Mal sehen, ob ich das vor dem Ruhestand erlebe. Ich glaube aber schon, denn die Zeit, wo jeder User lokaler Admins ein musste, weil ein Arbeiten ja sonst unmöglich war, sind ja auch vorbei.
Danke dafür. Denke mal, genau so wird es kommen. Kompetente Leute in der Wirtschaft und CEO's die mitdenken, werden das mit Sicherheit so machen, getrennte Systeme, eines für Betriebsabläufe ohne Netz und eines für die Kommunikation mit Netz. Eigentlich sollten so auch die Energienetze und die systemrelevanten Strukturen in einem Land betrieben werden. Warten wir ab und beobachten weiter, im kleinen wird sicher schon einiges so betrieben.
Mich würde ja interessieren, ob der Server SIEM-technisch überwacht war und wenn ja, ob es einen Alert gab und wenn ja, hat den jemand gesehen?
Evtl. War das Deception und gewollt das dieses System offen steht um zu sehen wie externe sich daran zu schaffen machen und wer auf das System von wo zugreift. Wir wissen es nicht.
Das wäre sogar möglich. Mancheiner weiß sicher mit "Deception" nichts anfangen, deswegen nenne ich mal den synonymen Fachbegriff, der etwas bekannter ist: "Honeypot".
In Defender for Endpoint ist mittlerweile "Deception" (die nennen das auch so) integriert worden.
Näheres: https://learn.microsoft.com/en-us/microsoft-365/security/defender/deception-overview?view=o365-worldwide
Es ist nicht so das MS nichts tut, man muss es nur integrieren.
Schau dir mal Cynet360 an, das Ding legt Honeypots aus, da fällt dir nichts mehr ein. Das meldet sogar zurück, wenn jemand die Dateien des Honeypot außerhalb des eigenen Netzes öffnet. Vor 2 Jahren mal getestet.
Danke 1ST1 – schaue ich mir an.
Ich mag ja keine Spaßbremse sein – aber die Theorie fällt imho schnell zusammen, denn die Microsoftler haben den Server nach der Meldung binnen eines Monats abgesichert. Man könnte natürlich postulieren: "Ok, der Decption-Test musste noch einen Monat laufen". Ich überlasse es meiner Leserschaft, schon selbständig denken zu können und eigene Schlüsse zu ziehen. Mal schauen, wann bei unseren wackeren IT-Entscheidern und -Strategen die Umdenkprozessen anlaufen.
Wenn es ja (bzgl. der Folgen) nicht so traurig wäre, könnte ich jetzt Freudentänze aufführen. Seit ca. der Jahrtausendwende warne ich vor bestimmten Entwicklungen, die damit begannen, dass keine saubere Dokumentation und Hilfedateien durch Software-Anbieter (und speziell Microsoft) mehr bereitgestellt wurde und sich dann mit "Software as a Service" samt Änderung um der Änderungen willen fortsetzte.
Mir wurde beschieden "Dokumentation braucht kein Mensch" und statt was zu konzeptionieren wurde mal eben "Rapid prototyping" probiert. Lief allen Erfahrungen, die ich in meinem Berufsleben an der Anwenderschnittstelle gesammelt hatte, fundamental entgegen.
Mein Postulat war, dass dies den Leuten auf die Füße fallen wird, weil keiner am Ende des Tages mehr durchblickt. Dass man in den 80er Jahren des vorherigen Jahrhunderts von Anwenderseite alles daran setzte, die Abhängigkeiten von den damaligen Großrechnern zu beenden, habe ich hautnah miterlebt und wurde dadurch auch geprägt. Der Hang zur Cloud erschien mir als Treppenwitz der Geschichte, der sich als schlechte Farce wiederholt.
Gut, als ausgebildeter Ingenieur stand ich mir in der IT oft selbst (bzw. den Informatikern) im Weg. Ich habe in meinen Projekten möglichst den "Fail Safe"-Weg für die Software projektiert und durchgesetzt, während die Informatik-Kollegen von Tools und tollen Lösungen träumten. Da ich nebenberuflich einige Semester Informatik studiert habe, konnte ich deren Sprech zwar verstehen, aber die Gedankenwelt blieb mir fremd. Erinnerung aus diesen 12 Jahren: Ich hatte immer die Scheiß-Projekte, "Born, kümmern sie sich drum, dass es läuft". Erkenntnis nach dem Exit aus meiner Industrietätig: "Ich war wohl häufig als Feuerwehr unterwegs, um Kohlen für andere aus dem Feuer zu holen" (ohne dass mir das damals so bewusst war). Ok, ist Geschichte, es war eine tolle Zeit – aber ich blicke aktuell fassungslos auf die Zustände in der IT-Landschaft, denn es ist wesentlich schlimmer gekommen, als ich in meinen Alpträumen befürchtet habe. Stichworte wie Ransomware, Industriespionage, staatlich gesponsorte Hacker, vollständige Überwachung etc. hatte ich in den 90er Jahren noch nicht auf dem Radar. Und was mich echt frustriert: Wenn Leute dann auch noch begeistert auf diesen Scheiterhaufen hüpfen und es sich schön reden.
Ich könnte verstehen, wenn Leute gut geplante IT-Projekte strategisch aufsetzen und da auch was "mit Cloud" vorkommt. Aber immer mit Plan B, verstehen, was geht und die Geschichte im Griff haben. Aber meine Artikel "IT aus der Hölle" hier im Blog zeigen, dass dies wohl eine Art Fata Morgana sein muss – in der Praxis wird auf Teufel komm raus gewurstelt. KRITIS? Scheiß egal? NIS2? Brauchen wir nicht. Bis es dann knallt – und es knallt halt immer häufiger.
Alles was wir tun müssen, ist sie zu erkennen, zu begreifen und in Zukunft zu vermeiden.
„Liebe deine Feinde, sie sagen dir deine Fehler." (von Benjamin Franklin)
„Unser größter Ruhm ist nicht, niemals zu fallen, sondern jedes Mal wieder aufzustehen." (von Nelson Mandela)
Wir sind auch nur Menschen, wir machen alle Fehler, gut das uns A.I. in der Zukunft unterstützen wird.
Ps.
Die stellvertretende nationale Cyber-Direktorin Camille Stewart Gloster ist zurückgetreten. :-)
Für mich sind solche und ähnliche Vorkommnisse egal ob bei Microsoft oder irgendeinem anderen Tech-Konzern nur ein Zeichen dafür, dass langsam die Komplexität der IT den beteiligten Personen über den Kopf wächst. Egal ob der Betreiber von über das Internet erreichbaren Services die Lösungen selber entwickelt oder nur von anderen einkauft, das macht im Endeffekt keinen Unterschied.
Es wird Zeit, dass ein Umdenken stattfindet. Man sollte die Komplexität abbauen und nicht noch weiter auf die Spitze treiben. Aber ich fürchte, das wird wohl erst dann stattfinden, wenn der GAU eingetreten ist.
Profiteure sind diejenigen, die in den bekannten Ländern wie China, Russland, Nordkorea und Iran die Schwächen eiskalt ausnutzen, um den sogenannten Westen zu destabilisieren.
Die Komplexität ist schon länger bei vielen zu hoch, als dass diese noch beherrschbar ist.
Will ja auch keiner mehr begreifen… hauptsache es läuft… irgendwie! Verstehen warum? das ist doch so 80iger.
Das Ergebnis sieht man am täglichen Wahnsinn!
Mein erster Rechner zuhause (VC20) hatte nen 1000 Seiten Handbuch und das musstest du durchackern, den es gab niemanden in der Nachbarschaft der dir helfen konnte!
Heute undenkbar!
https://www.heise.de/news/Nach-Microsoft-Hack-muessen-US-Behoerden-gross-aufraeumen-9682556.html
Heise legt noch mal nach.
Ms hat wohl die Kontrolle komplett verloren.
….
Dieser Microsoft-Schlüssel entpuppte sich nicht nur als mächtiger als vermutet, sondern auch als mächtiger als von seinem Erzeuger vorgesehen. Er
….
————
gb: Steckt im Beitrag US-Behörde CISA verdonnert Admins zur "Entschärfung der Cyberrisiken" der Microsoft Cloud – danke für den Hinweis. Zum letzten Satz habe ich was im Artikel geschrieben – bin nicht sicher, ob heise da was verwechselt hat.
Gruß