Chinesische Hacker in Microsoft Systemen
Chinese anonymous hackers. China flag and programming code in background
Bildquelle: rokas91, Lizenz

Hacker stehlen Microsoft Keys und bedienen sich an E-Mails

Seit Mai hatten Hacker Zugriff auf diverse Microsoft-Systeme und konnten Daten nach China senden. Microsoft ist am rotieren.

Chinesische Hacker haben sich mit einem Schlüssel von Microsoft Zugang zu diversen E-Mail-Postfächern verschafft; darunter auch von US-Regierungsbehörden. Microsoft schweigt dazu, wie die Hacker Zugang zum Schlüssel bekommen konnten.

Microsoft-Interne Analyse läuft weiter

In einem Blogpost beschreibt Microsoft die Aktivitäten von Storm-0558, den Hackern. Teil der Analyse ist unter anderem eine Heatmap der Aktivitäten, welche mit den Arbeitszeiten chinesischer Zeit (8:00-17:00 Uhr) übereinstimmen.

In der Vergangenheit richteten sich die Aktivitäten dieser Gruppen vor allem gegen US- und EU-Diplomaten in Form von Phishing-Angriffen und Malware, die unter dem Namen Cigril getrackt werden.

Aufgefallen durch verdächtige Datenabflüsse

Am 16. Juli meldete – laut CNN – das State Department bei Microsoft verdächtigen Traffic der eigenen Exchange-Instanz. Eine genauere Untersuchung zeigte, dass der Angreifer sich über einen von Azure gestohlenen AD-Schlüssel Tokens generierte. Ermöglicht wurde dies durch einen Fehler in den Funktionen zur Validierung der Tokens, die Lücke wurde inzwischen gepatcht und betroffene Nutzer benachrichtigt. Nachverfolgen ließ es sich gut, da die Hacker für alle Zugriffe den gleichen Key nutzten.

Es wurde bestätigt, dass es sich bei den gestohlenen Daten nicht um geheime Dokumente handelt. Die Hacker werden also noch nicht zufrieden sein. Es ist anzunehmen, dass weitere Angriffe folgen werden, ob diese erfolgreich sind, hängt aber zum großen Teil auch von den Nutzern ab.

Microsoft bemüht sich um Schadensbegrenzung

Im originalen Blogpost tanzt Microsoft verbal auf Eierschalen und vermeidet kritische Begriffe wie „zero-day“. Ein Beamter der CISA – der US-Behörde für Cyber- und Infrastruktursicherheit – kritisierte gegenüber dem WSJ währenddessen einen Mangel an brauchbaren Logs.

Fazit

Wieder einmal scheitert Microsoft daran, seine Server und Software vor Hackern abzuschirmen. Hier hätte die Nutzung Freier Software auf eigenen Servern das Ausmaß einer solchen Attacke drastisch reduziert und die Opfer deutlich besser geschützt und nebenbei noch Steuergelder gespart und deren Daten geschützt. Dass das aber nicht Fokus von Behörden ist, kennen wir aber leider zur Genüge.

Tarnkappe.info

Über

Moritz ist von ganzem Herzen Open-Source Programmierer. Neben regelmäßigen Commits für diverse Open-Source-Projekte verfasst er gelegentlich auch Texte für die Tarnkappe. Er findet es echt seltsam über sich in der dritten Person zu schreiben und merkt an, dass seine DMs für alles außer Marketing-Nachrichten offen stehen. Erreichbar ist er auf Matrix (@moritz:poldrack.dev), IRC (mpldr auf libera.chat) und Email (~mpldr/public-inbox@lists.sr.ht).