2023 gab es ja den Angriff der mutmaßlich chinesischen Gruppe Storm-0558 auf Microsoft Cloud-Konten. Möglich war dies durch Versäumnisse Microsofts. Seitdem versucht das Unternehmen die Sicherheit von Entra ID und MSA (Microsoft Account) als Teil der weitreichenden Secure Future Initiative (SFI) zu erhöhen. In diesem Rahmen wurde Millionen inaktive Microsoft Cloud-Tenants bereinigt.
Der Hack von Microsoft Online Exchange im Sommer 2023 durch die Gruppe Storm-0558 hatte seinerzeit ziemliche Wellen geschlagen, weil er durch eine Kette von Sicherheitsversäumnissen von Seiten Microsofts möglich wurde. Ich hatte umfangreich im Blog über diesen Sachverhalt berichtet (siehe Links am Artikelende).
In obigem Post weist Nicolas Krassas darauf hin, dass Microsoft Millionen von Cloud-Tenants nach dem Storm-0558-Hack bereinigt habe. Das geht aus einem am 21. April 2025 durch Microsoft vorgelegten Artikel Securing our future: April 2025 progress report on Microsoft's Secure Future Initiative hervor. Dark Reading hat den Sachverhalt im Artikel Microsoft Purges Millions of Cloud Tenants in Wake of Storm-0558 (auf den sich obiger Tweet bezieht) aufgegriffen.
Dark Reading schreibt, dass Microsoft nach dem Storm-0558-Hack erhebliche Anstrengungen unternimmt, um inaktive Azure-Cloud-Tenants zu bereinigen und eine umfassende Bestandsaufnahme der Cloud- und Netzwerkressourcen durchzuführen. Laut einer Meldung Microsofts hat das Unternehmen seit September 2024 mehr als eine halbe Million (550.000) inaktiver Tenants in seiner Cloud-Umgebung entfernt. Das soll die Gesamtzahl entfernter Tenants seit der Einführung von SFI auf 6,3 Millionen Tenants erhöht haben.
Bei diesem Schritt wurden rund 88 % der virtuellen Maschinen, Speicherkonten, Datenbanken und anderen Cloud-Ressourcen in den Azure Resource Manager migriert. Dieser bietet Administratoren eine bessere Verwaltung und Transparenz. Alle neuen Tenants werden nun automatisch in Microsofts Sicherheits-Notfallsystem registriert.
Microsoft verwendet nun eine automatisierte Lifecycle-Management-Lösung für alle Microsoft Entra ID-Anwendungen in der Produktionsumgebung. Die Authentifizierung für 4,4 Millionen verwaltete Identitäten in der Produktionsumgebung ist nun auf bestimmte Netzwerkstandorte beschränkt, wodurch diese kritischen Ressourcen noch besser geschützt werden.
Microsoft zählt in seiner Mitteilung viele Punkte auf, die man im Rahmen von SFI verbessert habe. Ziel ist es, künftig solche Hacks nationalstaatlicher Angreifer im Rahmen seiner Secure Future Initiative (SFI) zu verhindern. Sicherheitsexperten sind laut Dark Reading jedoch der Meinung, dass noch mehr getan werden muss, um den Plan der Secure Future Initiative (SFI) zu erfüllen.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen
Storm-0558 Hack: Microsoft hat Purview Audit generell für US-Behörden seit Feb. 2024 freigegeben
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich
MVP: 2013 – 2016
Klingt eher so als ob MS keinen Überblick über seine Cloud hat.
Hat Microsoft denn überhaupt noch irgendwo einen Überblick? Wenn ich mir die ganzen Bugs und Probleme und deren schleppende und teils unterlassene Beseitigung zu anschaue*, glaube ich, dass es für Microsoft normal ist, keinen Überblick zu haben.
*Ich sag als Beispiel mal die Outlook-Suchfunktion, die aufgrund sehr vieler unterschiedlicher oft nicht oder nur mit Workarounds zu beseitigender Fehler seit vielen Jahren in einem breiten Nutzerkreis sehr unzuverlässig ist.
So sieht es aus. Die haben gar keinen Überblick mehr von irgendwas. Es ist ein Armutszeugnis eines so weit verbreiteten Anbieters. Aber ein Quasimonopol ist in dem Fall auch mehr oder weniger ein Freifahrtschein Müll zu produzieren. Bis heute konnte mir keiner von Microsoft sagen warum ich für Windows 11 mindestens die 8 Gen von Intel brauche und warum eine 7., 6. etc nicht ausreicht, weil installiert bekomme ich es ja und mehr als die eh bereits üblichen Bugs finde ich auch nicht. Oder warum wird das System immer Ressourcenfressender und müllt sich selbst zu. Alles egal, kostet ja alles nix und wen interessiert das schon, gekauft und benötigt wird es ja sowieso, weil irgendein super duper CAD-Programm nur unter Windows läuft und das ebenfalls quasi der Marktführer ist. Aso nicht zu vergessen von GPOs die plötzlich nicht mehr so funktionieren wie sie von Microsoft angegeben waren und dann irgendwelche Funktionen ungewollt aktiviert werden oder die Installationsdauer von Updates bei Server 2016 und teilweise 2019. Oder dass ich nach jedem WIndows Update ein sfc /Scannow machen kann und immer irgendwelche Fehler bereinigt werden…… Man kann gefühlt ewig so weiter zu machen.
Denen ist die eigene Komplexität über Kopf gewachsen.
Wer von den Mitarbeitern hat denn noch einen Überblick wie dort die ganzen Sachen ineinander greifen? Tiefergehende Probleme kann dort auch niemand mehr lösen.
Bist du Admin in einem Active-Directory, verwaltest Dateiserver? Wieviele schon lange nicht mehr benutzte Serviceaccounts, Nutzerprofilordner und lange nicht mehr benötigte Dateien fliegen da rum?
Das alles zu finden, zu prüfen und aufzuräumen ist verdammt viel Arbeit. So ist das dann mit den Tenants, da traut sich auch keiner ran, das zeitnah zu bereinigen, weil Kunde könnte ja doch noch mal wieder kommen und will dann seine Daten haben.
Ein großer Cloud-Anbieter (bin an NDA-gebunden) hat einmal bei einem großen Kunden den ganzen Tennant statt einer Ressource gelöscht, das war ein Big-Bang.
Glücklicherweise gab es ein Backup, aber dennoch tagelang viel Stress für alle.
Daher verstehe ich es, wenn man sehr vorsichtig bei Tennant-Bereinigungen vorgeht.
War die Putzaktion vieleicht die Ursache der Exchange-Online-Störungen im März 2025?
Microsoft ist "too big to fail".
Abgesehen davon liest sich der untere Teil ein bisschen wie gesponserter Inhalt. Einfach nur eine Auflistung was sie tolles gemacht haben, ohne eine Einordnung.
Zu "gesponsorter Inhalt" – da sind die Regeln klar, wäre gekennzeichnet. Ansonsten: Was erwartest Du? Dass Microsoft schreibt, wie viel Mist man produziert?