[English]Die US-Cybersicherheitsbehörde CISA hat die Administratoren von US-Behörden zum 2. April 2024 mittels einer Direktive ultimativ aufgefordert, die Cyberrisiken, die sich durch einen Hack der Microsoft Cloud bzw. des Microsoft E-Mail-Systems durch Midnight Blizzard für Kunden ergeben, bis zum 30. April 2024 zu „entschärfen“ bzw. zu eliminieren. Hintergrund ist, dass staatliche Akteure beim Hack die E-Mail-Kommunikation zwischen Kunden und Microsoft mitlesen konnten und in diesen Mails wohl auch Sicherheitsinformationen für Kundensysteme enthalten waren.
Hintergrund: Die Microsoft Käse-Cloud
Die leicht despektierliche Überschrift resultiert daraus, dass die Microsoft Cloud externen Beobachtern „wie ein Schweizer Käse“, mit besonders vielen und großen Löchern drin, vorkommen muss. Was bei Käse eine Spezialität darstellt und dem „Innenleben bei der Käse-Werdung geschuldet ist“, ist bei einer Cloud natürlich tödlich.
Und bezüglich Cloud-Sicherheit erweisen sich Microsofts Lösungen als „besonderes Früchtchen“. Wir hatten im Mai 2023 den Hack der mutmaßlich chinesischen Hackergruppe Storm-0558, die über einen gestohlenen AAD-Schlüssel mittels dann selbst generierter Zugriffstokens für den Zugriff auf Azure AD-Konten (heute Entra ID) generieren und E-Mail-Konten ausspionieren konnten (siehe meinen Artikel GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten).
Weiterhin gab es seit November 2023 den Fall, dass mutmaßlich russische Angreifer der Gruppe Midnight Blizzard über ein gehacktes Konto eines Testservers in Microsofts E-Mail-System eindringen und dort gezielt E-Mails von Microsoft Führungskräften und der Sicherheitsabteilung mitlesen konnten. Ich hatte u.a. im Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert berichtet. Kurz danach wurde der im Artikel Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt berichtete Hack von HPE bekannt. Ob es einen Zusammenhang gab, ist bisher unklar.
Aber es ist inzwischen klar, dass Midnight Blizzard sich bei Microsoft wohl hartnäckiger festgesetzt hatte, als von Microsoft eingestanden. Hieß es zuerst „alles im Griff, wir haben die Zugriffe unterbunden“, musste Microsoft später eingestehen, dass Midnight Blizzard wohl weiter die Systeme angegriffen und auch Quellcode gestohlen habe (siehe Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen). Es ist bekannt, dass die Angreifer beliebige Microsoft E-Mail-Konten mitlesen konnten. Über diese Konten wurde auch mit Kunden kommuniziert und es ist wohl nicht ausgeschlossen, dass dort Informationen über Zugänge zu Kundensysteme ausgetauscht wurden.
Seit diesem Zeitpunkt muss die Microsoft-Cloud eigentlich als kompromittiert gelten und Kunden tun gut daran, da zu überlegen, was sicherheitstechnisch überhaupt noch geht bzw. möglich ist. Dass Microsoft immer noch lax mit dem Thema Sicherheit umgeht, ist gerade im Blog-Beitrag Ungesicherter Microsoft Azure Server legt Passwörter etc. von Microsoft-Systemen offen (Feb. 2024) sowie im Folgeartikel Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter) hier im Blog angesprochen worden. Im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen hatte ich über „Absetzbewegungen“ aus der Microsoft-Cloud bei einigen US-Kunden berichtet.
CISA-Forderung nach „Entschärfung der Cyberrisiken“
Von der US Cybersecurity & Infrastructure Agency (CISA) ist zum 2. April 2024 nun die Emergency Directive ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System veröffentlicht worden, die als eine Art Brandbrief zu interpretieren ist. Die CISA bezieht sich auf den oben erwähnten, erfolgreichen Cyberangriff durch die russischen Hacker (Midnight Blizzard), die Microsoft-Unternehmens-E-Mail-Konten erfolgreich infiltrieren und die E-Mail-Korrespondenz zwischen Behörden der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB) und Microsoft mitlesen konnten.
In der CISA-Direktive heißt es, dass der Bedrohungsakteur Informationen nutzt, die ursprünglich aus den E-Mail-Systemen des Unternehmens Microsoft exfiltriert wurden, um sich zusätzlichen Zugang zu Microsoft-Kundensystemen zu verschaffen bzw. zu versuchen, sich diesen zu verschaffen. Zu den abgezogenen Daten gehören laut CISA auch Authentifizierungsdaten, die zwischen Microsoft-Kunden und Microsoft per E-Mail ausgetauscht wurden.
Nach Angaben von Microsoft hat Midnight Blizzard das Volumen einiger Aspekte der Einbruchskampagne, wie z. B. Passwort-Sprays, im Februar um das Zehnfache erhöht, verglichen mit dem bereits hohen Volumen im Januar 2024. Auf diesen Umstand hatte ich im Beitrag Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen bereits hingewiesen.
Für die CISA stellt die erfolgreiche Kompromittierung von Microsoft-Unternehmens-E-Mail-Konten durch Midnight Blizzard und die Exfiltrierung der Korrespondenz zwischen Behörden und Microsoft ein ernstes und inakzeptables Risiko für US-Behörden dar. In der im April 2024 veröffentlichten Notfallrichtlinie verlangt die CISA von den betroffenen US-Behörden, den Inhalt der exfiltrierten E-Mails zu analysieren, kompromittierte Anmeldedaten zurückzusetzen und zusätzliche Schritte zu unternehmen, um sicherzustellen, dass die Authentifizierungswerkzeuge für privilegierte Microsoft Azure-Konten sicher sind.
Microsoft und die CISA haben alle Bundesbehörden benachrichtigt, deren E-Mail-Korrespondenz mit Microsoft als von Midnight Blizzard exfiltriert identifiziert wurde. Auf die Administratoren dieser Systeme kommt also eine Menge Arbeit zu, da bei großen Behörden ggf. sehr viele Mails zwischen Microsoft und der IT oder den Mitarbeitern ausgetauscht wurden und sehr viel zu überprüfen ist. Riecht irgendwie nach „Sicherheits-GAU“, vor allem, weil niemand sagen kann, ob er vielleicht unerkannt kompromittiert wurde.
Betroffene Behörden, die von Microsoft E-Mail-Metadaten erhalten, die bekannten oder vermuteten Kompromittierungen der Authentifizierung entsprechen, oder die Kenntnis von spezifischen Details solcher Kompromittierungen erhalten, müssen sofort reagieren, und Abhilfemaßnahmen für Token, Passwörter, API-Schlüssel oder andere Authentifizierungsdaten, von denen bekannt ist oder vermutet wird, dass sie kompromittiert wurden, ergreifen. Für alle bekannten oder vermuteten Authentifizierungskompromittierungen, die durch obige Maßnahme identifiziert wurden, sind bis zum 30. April 2024 folgende Maßnahmen zu ergreifen:
- Zurücksetzen der Anmeldedaten in zugehörigen Anwendungen und Deaktivieren zugehöriger Anwendungen, die für die Behörde nicht mehr benötigt werden.
- Überprüfung von Anmelde-, Token-Ausgabe- und anderen Kontoaktivitätsprotokollen für Benutzer und Dienste auf mögliche bösartige Aktivitäten, bei denen eine Kompromittierung der Anmeldedaten vermutet oder beobachtet wurde.
Weiterhin müssen die Verantwortlichen Maßnahmen zur Ermittlung des vollständigen Inhalts der Korrespondenz der Behörde mit kompromittierten Microsoft-Konten ergreifen. Das umfasst auch die Durchführung einer Analyse der Auswirkungen auf die Cybersicherheit gemäß den im Anhang zu Richtlinie aufgeführten Einzelheiten. Diese Maßnahme muss bis zum 30. April 2024 abgeschlossen sein.
Wurden Authentifizierungskompromittierungen durch eine Analyse der Behörde erkannt oder werden solche vermutet, ist die CISA zu benachrichtigen. Zudem sind die in der Richtlinie beschriebenen Schritte (zurücksetzen der Anmeldedaten, etc.) durchzuführen. Die CISA wird mit den Behörden einen aktualisierten Zeitplan für den Abschluss dieser erforderlichen Maßnahmen erarbeiten, heißt es in der Direktive.
Leser hatten hier im Blog auf den heise-Artikel Nach Microsoft-Fiasko müssen US-Behörden groß aufräumen zum Thema hingewiesen. Auch Bleeping Computer hat hier diese CISA-Direktive aufgegriffen. Bezüglich des heise-Beitrags bin ich mir aber nicht wirklich sicher, ob, wie behauptete „eine Art Generalschlüssel für weite Teile der Microsoft Cloud erbeutet“ wurde. Denn der bei heise verlinkte Sachverhalt bezieht sich auf den mutmaßlich chinesischen Storm-0558 Hack. Die CISA erwähnt aber nur die Implikationen des Midnight Blizard-Hacks, bei dem Mails von Microsoft mitgelesen wurden. Wie auch immer – ich würde sagen „die Luft für Leute, die in der Microsoft Cloud aktiv sind, wird dünner – die können nur hoffen, dass sie noch nicht gehackt wurden“.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich
Ungesicherter Microsoft Azure Server legt Passwörter etc. von Microsoft-Systemen offen (Feb. 2024)
Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter)
Das geht direkt „in the Face“ der Cloud Befürworter die ständig behaupten in der Cloud ist es sicherer, da MS diese ja viel besser gewährleisten kann als der Admin bei seiner on-Premise Lösungen. Und das der Admin sich darum ja nicht mehr kümmern muss… jetzt fällt doch wieder alles auf den Admin zurück.
Die Cloud ist aktuell wie eine Runde Jenga, aus dem Cloud Türmchen wird ständig ein Element mehr raus gezogen und irgendwann bricht das ganze zusammen.
Im Prinzip ist der Cloud Ansatz schon richtig. Backup ist einfacher, Security ist einfacher umzusetzen, Verfügbarkeit und die Performance sind besser. Und das Preis Leitungsverhältnis auch.
Nachteil ist, für die oben genannten Vorteile, muss man sich auf Gedeih und Verderb auf den Dienstleiser verlassen. Wenn der an irgendeiner Stelle Mist baut, ist es dann eben schnell vorbei mit den Vorteilen. Und da man es eben nicht selber in der Hand hat, weiß man im Zweifelsfall vielleicht auch gar nicht, ob der Dienstleister Mist gebaut hat oder nicht.
Hauptproblem ist eben, dass die Entscheider in der IT meist nur die oben genannten Vorteile sehen oder sehen wollen und sich vor den Nachteilen verschließen.
Der Dienstleister muß nicht einmal Mist bauen.
Man muß sich bewusst sein, das man seine Daten in fremde Hände gibt. Und wenn es da einen neugierigen Admin gibt, schaut der in die Kundendaten rein, und da er Admin ist, kann er auch gleich die Protokolle, die seine Schnüffelei protokolliert haben, bereinigen.
Man muß auch ein sehr starkes Vertrauen in den Dienstleister und seine Mitarbeiter haben.
Und bei der Cloud ist man auch noch abhängig von dem Funktionieren des Internetzugangs.
Gibt es da eine Störung, ist man quasi handlungsunfähig, da man keinen Zugriff mehr auf seine Cloudinhalte hat.
Und wenn da z.B. ein Bagger o.Ä. die Leitung raus reißt, dann ist man das u.U. auch schon einmal ein paar Tage.
Bei OnPrem kann man bis auf wenige Ausnahmen (z.B. Email senden/empfangen) weiterarbeiten.
Leider wird das die Horde von Cloud Lemmingen erst nach „Lernen durch Schmerzen“ im Ausfallfall begreifen, wenn überhaupt.
Vielleicht solltet ihr beiden das hier mal lesen, insbesondere weiter unten das über DKE. Auch hier gillt halt wieder, man muss es halt nur mal einrichten…
https://learn.microsoft.com/de-de/azure/information-protection/plan-implement-tenant-key
https://learn.microsoft.com/de-de/purview/double-key-encryption
Musst halt E5 haben.
Ja, klar, es gibt keine Hintertüren in der Verschlüsselung bzw. auch keine Generalschlüssel für interessierte Dritte über den Cloud Act, gibt es sicher nicht. Wie naiv kann man sein.
Ja, leider muss man für die Sicherheit und das was M$ verbockt hat, halt extra zahlen und selbst korrigieren. Will man Zugriff auf essentielle Logs haben und Dinge auszuwerten: bitte zahlen Sie hier.
Ich denke, ich kann dir ein Auto verkaufen und wenn du Bremsen und Beleuchtung haben willst, dann bitte nur die Vollausstattung und wenn du dann die Möglichkeit haben möchtest den Tachostand zu sehen, z.B. um zu prüfen ob du zu schnell unterwegs bist, dann bitte noch einmal extra zahlen. Das spiegelt MS Lizenzmodell wieder.
auch dann nicht. So lange keiner für die Entscheidung ernsthaft belangt wird oder die Cloudbetreiber belangt werden, passiert nichts.
“ … , muss man sich auf Gedeih und Verderb auf den Dienstleiser verlassen. “
Genau so etwas nannte man früher „VERANTWORTUNGSLOS“! Nur ist heute eben Effizienz und damit: Profit, Profit, Profit – wichtiger als ALLES andere. Man fragt sich, was lernt man da eigentlich? An diesen sogenannten „Hoch“schulen und Uni’s ?? (ganz besonders speziell in den Bereichen Jura, Volks- und Betriebswirtschaft !)
Ich habe schon lange aufgegeben auf die Risiken der Cloud hinzuweisen. Die Geschäftsleitung will nur die Vorteile wahrnehmen, der Rest passiert „uns“ ja eh nie und falls doch können wir ein paar Stunden Ausfall verschmerzen.
Die Partnerfirmen machen dir die Cloud ebenfalls ohne Ende schmackhaft, weil sie mit weniger Personalaufwand genauso abkassieren können.
Jedem ist klar was bei „ein paar Stunden Ausfall“ passiert. Sämtliche Häuptlinge rennen dann bei dir im Büro im Kreis und wollen in sekundentakt wissen wann wieder alles funktioniert.
Mehr als ein Schulterzucken werde ich dann als Antwort nicht geben können.
Eigentlich müssten jetzt BSI und/oder Innenministerium (oder ein nicht-existentes EU-Äquivalent) ähnliche Briefe an MS schicken, sonst könnt’s passieren, das MS mit Bastellösungen versucht die CISA abzufrühstücken, während die außeramerikanischen Kunden mit dem Ofenrohr ins Gebirge schauen…
Aber was red‘ ich…
Wann kommt das BSI in die Gänge und verdonnert die Admins in Deutschland?
in ein paar Monaten, erst müssen alle Anträge und Formulare zum zuständigen Beamten gefaxt werden und dann mit der Post(kutsche) zurück :-).
ja, was sagt das BSI dazu? Es gibt etliche KRITIS Unternehmen, die bereits online sind oder dorthin wollen.
Macht das Sinn?
irgendwas mit alternativlos. Diverse Kunden von uns sind Bundes oder Landesbehörden, da kommt immer mehr M365.
Schön ist das auf jeden Fall nicht, aber darüber hinaus sollte man nicht die viel direkter treffenden aktuellen Phishing-Attacken aus den Augen verlieren, insbesondere wenn es sehr raffiniert speziell auf deutsche Empfänger zugeschnitten wird.
https://securityaffairs.com/161747/cyber-crime/ta547-targeting-german-orgs.html
https://thehackernews.com/2024/04/ta547-phishing-attack-hits-german-firms.html
cave: Nebelkerzen ;)))
„wenn Du merkst, das Dein Pferd tot ist, steig ab“
Naja, dazu muß aber jemand:
1. das angehängte Zip öffnen
2.die darin enthaltene .lnk öffnen
3. das System muß die Ausführung von Remote Powershell Scripten zulassen
1 und 2 sollte man nie tun, da ist Schulung der Benutzer gefragt.
Und 3. sollte per Gruppenrichtlinie eh deaktiviert sein.
Und schon das alleinige Anschauen der Mail zeigt doch schon, das es Spam ist.
Ein Lieferant wird einen nicht mit Lieber Kunde ansprechen, sondern mit Namen.
Auch ist i.d.R. eine Kundennummer vorhanden.
Und wenn man die Mail sieht, sollte man mal nachdenken, ob man da überhaupt etwas bestellt hat.
Wenn nicht, gleich in die Ablage P damit.
Falsch machen kann man damit nichts.
Ist die Rechnung echt gewesen, dann kommt irgendwann eine Zahlungserinnerung.
Lieber eine derartige Mail zu viel gelöscht als eine zu wenig!
3. ist aktiv und per GPO konfiguriert. WinRM und Powershell remoting via https, damit man mit LAPS und dem Windows Admin Center arbeiten kann
Gerade in kleineren Betrieben sind die Systeme oftmals nicht ausreichend gehärtet und für Nutzersensiblisierung hat man da oft auch nicht ausreichend Ressourcen.
Diese Angreifer würden es nicht mehr tun, wenn es nicht mehr funktionieren würde. Und es reicht denen schon, wenn nur ein Bruchteil darauf reinfällt.
Auch wir bekommen relativ viele Phishing Mails. „Defender for Office“ ist aber schon sehr gut. Dann noch ASR und weitere strenge Regeln inkl. Anhangfilter – da kommt nicht mehr viel durch.
Oder einfach ein vernünftiges System nutzen, das nicht jeden Mist ausführt.
Uhr macht Euch mitschuldig, sowas zu betreuen…
Was für eine Uhr?
Und wenn du an irgendso ein Opensource Frickel-OS als Desktop im Hintergrund denkst, auch Windows lässt sich so härten, dass nicht jeden Mist ausführt. Ihr (! – nicht „Uhr“) müsst das nur machen.
„Hintergrund ist, dass staatliche Akteure beim Hack die E-Mail-Kommunikation zwischen Kunden und Microsoft mitlesen konnten und in diesen Mails wohl auch Sicherheitsinformationen für Kundensysteme enthalten waren.“
[…]
„Zu den abgezogenen Daten gehören laut CISA auch Authentifizierungsdaten, die zwischen Microsoft-Kunden und Microsoft per E-Mail ausgetauscht wurden.“
Wer vertrauliche und sensible Informationen, und dazu gehören auch Authentifizierungsdaten und Sicherheitsinformationen, unverschlüsselt per E-Mail sendet, dem ist nicht mehr zu helfen!
E-Mail ist wie Postkarte!
Wir nutzen im IT-Team schon seit mehreren Jahren S/MIME-Signierung standardmäßig, vertrauliche Daten werden von uns grundsätzlich nur verschlüsselt gesendet. Und wenn der Kommunikationspartner keine S/MIME-Verschlüsselung in seinen Mails unterstützt, dann werden solche Informationen auf einem anderen Kanal übertragen.
Ja, es gäbe auch die Möglichkeit, PGP in Mails zu nutzen. Aber ich habe noch keinen Geschäftspartner oder Dienstleister gesehen, der das macht. PGP kenne ich nur im CCC-Umfeld, bei Heise und div. NGOs.
Das mit dem SMIME sollest du nochmal näher erklären… Wo findet denn da Ver- und Entschlüsselung statt? Was ist, wenn du Zugriff auf Quell- oder Zielmailserver hast?