Seit Mai hatten Hacker Zugriff auf diverse Microsoft-Systeme und konnten Daten nach China senden. Microsoft ist am rotieren.
Chinesische Hacker haben sich mit einem Schlüssel von Microsoft Zugang zu diversen E-Mail-Postfächern verschafft; darunter auch von US-Regierungsbehörden. Microsoft schweigt dazu, wie die Hacker Zugang zum Schlüssel bekommen konnten.
Microsoft-Interne Analyse läuft weiter
In einem Blogpost beschreibt Microsoft die Aktivitäten von Storm-0558, den Hackern. Teil der Analyse ist unter anderem eine Heatmap der Aktivitäten, welche mit den Arbeitszeiten chinesischer Zeit (8:00-17:00 Uhr) übereinstimmen.
In der Vergangenheit richteten sich die Aktivitäten dieser Gruppen vor allem gegen US- und EU-Diplomaten in Form von Phishing-Angriffen und Malware, die unter dem Namen Cigril getrackt werden.
Aufgefallen durch verdächtige Datenabflüsse
Am 16. Juli meldete – laut CNN – das State Department bei Microsoft verdächtigen Traffic der eigenen Exchange-Instanz. Eine genauere Untersuchung zeigte, dass der Angreifer sich über einen von Azure gestohlenen AD-Schlüssel Tokens generierte. Ermöglicht wurde dies durch einen Fehler in den Funktionen zur Validierung der Tokens, die Lücke wurde inzwischen gepatcht und betroffene Nutzer benachrichtigt. Nachverfolgen ließ es sich gut, da die Hacker für alle Zugriffe den gleichen Key nutzten.
Es wurde bestätigt, dass es sich bei den gestohlenen Daten nicht um geheime Dokumente handelt. Die Hacker werden also noch nicht zufrieden sein. Es ist anzunehmen, dass weitere Angriffe folgen werden, ob diese erfolgreich sind, hängt aber zum großen Teil auch von den Nutzern ab.
Microsoft bemüht sich um Schadensbegrenzung
Im originalen Blogpost tanzt Microsoft verbal auf Eierschalen und vermeidet kritische Begriffe wie „zero-day“. Ein Beamter der CISA – der US-Behörde für Cyber- und Infrastruktursicherheit – kritisierte gegenüber dem WSJ währenddessen einen Mangel an brauchbaren Logs.
Fazit
Wieder einmal scheitert Microsoft daran, seine Server und Software vor Hackern abzuschirmen. Hier hätte die Nutzung Freier Software auf eigenen Servern das Ausmaß einer solchen Attacke drastisch reduziert und die Opfer deutlich besser geschützt und nebenbei noch Steuergelder gespart und deren Daten geschützt. Dass das aber nicht Fokus von Behörden ist, kennen wir aber leider zur Genüge.
