US-Behörde CISA verdonnert Admins zur "Entschärfung der Cyberrisiken" der Microsoft Cloud

[English]Die US-Cybersicherheitsbehörde CISA hat die Administratoren von US-Behörden zum 2. April 2024 mittels einer Direktive ultimativ aufgefordert, die Cyberrisiken, die sich durch einen Hack der Microsoft Cloud bzw. des Microsoft E-Mail-Systems durch Midnight Blizzard für Kunden ergeben, bis zum 30. April 2024 zu „entschärfen“ bzw. zu eliminieren. Hintergrund ist, dass staatliche Akteure beim Hack die E-Mail-Kommunikation zwischen Kunden und Microsoft mitlesen konnten und in diesen Mails wohl auch Sicherheitsinformationen für Kundensysteme enthalten waren.

Hintergrund: Die Microsoft Käse-Cloud

Die leicht despektierliche Überschrift resultiert daraus, dass die Microsoft Cloud externen Beobachtern „wie ein Schweizer Käse“, mit besonders vielen und großen Löchern drin, vorkommen muss. Was bei Käse eine Spezialität darstellt und dem „Innenleben bei der Käse-Werdung geschuldet ist“, ist bei einer Cloud natürlich tödlich.

Und bezüglich Cloud-Sicherheit erweisen sich Microsofts Lösungen als „besonderes Früchtchen“. Wir hatten im Mai 2023 den Hack der mutmaßlich chinesischen Hackergruppe Storm-0558, die über einen gestohlenen AAD-Schlüssel mittels dann selbst generierter Zugriffstokens für den Zugriff auf Azure AD-Konten (heute Entra ID) generieren und E-Mail-Konten ausspionieren konnten (siehe meinen Artikel GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten).

Weiterhin gab es seit November 2023 den Fall, dass mutmaßlich russische Angreifer der Gruppe Midnight Blizzard über ein gehacktes Konto eines Testservers in Microsofts E-Mail-System eindringen und dort gezielt E-Mails von Microsoft Führungskräften und der Sicherheitsabteilung mitlesen konnten. Ich hatte u.a. im Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert berichtet. Kurz danach wurde der im Artikel Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt berichtete Hack von HPE bekannt. Ob es einen Zusammenhang gab, ist bisher unklar.

Aber es ist inzwischen klar, dass Midnight Blizzard sich bei Microsoft wohl hartnäckiger festgesetzt hatte, als von Microsoft eingestanden. Hieß es zuerst „alles im Griff, wir haben die Zugriffe unterbunden“, musste Microsoft später eingestehen, dass Midnight Blizzard wohl weiter die Systeme angegriffen und auch Quellcode gestohlen habe (siehe Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen). Es ist bekannt, dass die Angreifer beliebige Microsoft E-Mail-Konten mitlesen konnten. Über diese Konten wurde auch mit Kunden kommuniziert und es ist wohl nicht ausgeschlossen, dass dort Informationen über Zugänge zu Kundensysteme ausgetauscht wurden.

Seit diesem Zeitpunkt muss die Microsoft-Cloud eigentlich als kompromittiert gelten und Kunden tun gut  daran, da zu überlegen, was sicherheitstechnisch überhaupt noch geht bzw. möglich ist. Dass Microsoft immer noch lax mit dem Thema Sicherheit umgeht, ist gerade im Blog-Beitrag Ungesicherter Microsoft Azure Server legt Passwörter etc. von Microsoft-Systemen offen (Feb. 2024) sowie im Folgeartikel Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter) hier im Blog angesprochen worden. Im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen hatte ich über „Absetzbewegungen“ aus der Microsoft-Cloud bei einigen US-Kunden berichtet.

CISA-Forderung nach „Entschärfung der Cyberrisiken“

Von der US Cybersecurity & Infrastructure Agency (CISA) ist zum 2. April 2024 nun die Emergency Directive ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System veröffentlicht worden, die als eine Art Brandbrief zu interpretieren ist. Die CISA bezieht sich auf den oben erwähnten, erfolgreichen Cyberangriff durch die russischen Hacker (Midnight Blizzard), die Microsoft-Unternehmens-E-Mail-Konten erfolgreich infiltrieren und die E-Mail-Korrespondenz zwischen Behörden der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB) und Microsoft mitlesen konnten.

In der CISA-Direktive heißt es, dass der Bedrohungsakteur Informationen nutzt, die ursprünglich aus den E-Mail-Systemen des Unternehmens Microsoft exfiltriert wurden, um sich zusätzlichen Zugang zu Microsoft-Kundensystemen zu verschaffen bzw. zu versuchen, sich diesen zu verschaffen. Zu den abgezogenen Daten gehören laut CISA auch Authentifizierungsdaten, die zwischen Microsoft-Kunden und Microsoft per E-Mail ausgetauscht wurden.

Nach Angaben von Microsoft hat Midnight Blizzard das Volumen einiger Aspekte der Einbruchskampagne, wie z. B. Passwort-Sprays, im Februar um das Zehnfache erhöht, verglichen mit dem bereits hohen Volumen im Januar 2024. Auf diesen Umstand hatte ich im Beitrag Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen bereits hingewiesen.

Für die CISA stellt die erfolgreiche Kompromittierung von Microsoft-Unternehmens-E-Mail-Konten durch Midnight Blizzard und die Exfiltrierung der Korrespondenz zwischen Behörden und Microsoft ein ernstes und inakzeptables Risiko für US-Behörden dar. In der im April 2024 veröffentlichten Notfallrichtlinie verlangt die CISA von den betroffenen US-Behörden, den Inhalt der exfiltrierten E-Mails zu analysieren, kompromittierte Anmeldedaten zurückzusetzen und zusätzliche Schritte zu unternehmen, um sicherzustellen, dass die Authentifizierungswerkzeuge für privilegierte Microsoft Azure-Konten sicher sind.

Microsoft und die CISA haben alle Bundesbehörden benachrichtigt, deren E-Mail-Korrespondenz mit Microsoft als von Midnight Blizzard exfiltriert identifiziert wurde. Auf die Administratoren dieser Systeme kommt also eine Menge Arbeit zu, da bei großen Behörden ggf. sehr viele Mails zwischen Microsoft und der IT oder den Mitarbeitern ausgetauscht wurden und sehr viel zu überprüfen ist. Riecht irgendwie nach „Sicherheits-GAU“, vor allem, weil niemand sagen kann, ob er vielleicht unerkannt kompromittiert wurde.

Betroffene Behörden, die von Microsoft E-Mail-Metadaten erhalten, die bekannten oder vermuteten Kompromittierungen der Authentifizierung entsprechen, oder die Kenntnis von spezifischen Details solcher Kompromittierungen erhalten, müssen sofort reagieren, und Abhilfemaßnahmen für Token, Passwörter, API-Schlüssel oder andere Authentifizierungsdaten, von denen bekannt ist oder vermutet wird, dass sie kompromittiert wurden, ergreifen. Für alle bekannten oder vermuteten Authentifizierungskompromittierungen, die durch obige Maßnahme identifiziert wurden, sind bis zum 30. April 2024 folgende Maßnahmen zu ergreifen:

  • Zurücksetzen der Anmeldedaten in zugehörigen Anwendungen und Deaktivieren zugehöriger Anwendungen, die für die Behörde nicht mehr benötigt werden.
  • Überprüfung von Anmelde-, Token-Ausgabe- und anderen Kontoaktivitätsprotokollen für Benutzer und Dienste auf mögliche bösartige Aktivitäten, bei denen eine Kompromittierung der Anmeldedaten vermutet oder beobachtet wurde.

Weiterhin müssen die Verantwortlichen Maßnahmen zur Ermittlung des vollständigen Inhalts der Korrespondenz der Behörde mit kompromittierten Microsoft-Konten ergreifen. Das umfasst auch die Durchführung einer Analyse der Auswirkungen auf die Cybersicherheit gemäß den im Anhang zu Richtlinie aufgeführten Einzelheiten. Diese Maßnahme muss bis zum 30. April 2024 abgeschlossen sein.

Wurden Authentifizierungskompromittierungen durch eine Analyse der Behörde erkannt oder werden solche vermutet, ist die CISA zu benachrichtigen. Zudem sind die in der Richtlinie beschriebenen Schritte (zurücksetzen der Anmeldedaten, etc.) durchzuführen.  Die CISA wird mit den Behörden einen aktualisierten Zeitplan für den Abschluss dieser erforderlichen Maßnahmen erarbeiten, heißt es in der Direktive.

Leser hatten hier im Blog auf den heise-Artikel Nach Microsoft-Fiasko müssen US-Behörden groß aufräumen zum Thema hingewiesen. Auch Bleeping Computer hat hier diese CISA-Direktive aufgegriffen. Bezüglich des heise-Beitrags bin ich mir aber nicht wirklich sicher, ob, wie behauptete „eine Art Generalschlüssel für weite Teile der Microsoft Cloud erbeutet“ wurde. Denn der bei heise verlinkte Sachverhalt bezieht sich auf den mutmaßlich chinesischen Storm-0558 Hack. Die CISA erwähnt aber nur die Implikationen des Midnight Blizard-Hacks, bei dem Mails von Microsoft mitgelesen wurden. Wie auch immer – ich würde sagen „die Luft für Leute, die in der Microsoft Cloud aktiv sind, wird dünner – die können nur hoffen, dass sie noch nicht gehackt wurden“.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich
Ungesicherter Microsoft Azure Server legt Passwörter etc. von Microsoft-Systemen offen (Feb. 2024)
Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter)

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu US-Behörde CISA verdonnert Admins zur "Entschärfung der Cyberrisiken" der Microsoft Cloud

  1. Chris sagt:

    Das geht direkt „in the Face“ der Cloud Befürworter die ständig behaupten in der Cloud ist es sicherer, da MS diese ja viel besser gewährleisten kann als der Admin bei seiner on-Premise Lösungen. Und das der Admin sich darum ja nicht mehr kümmern muss… jetzt fällt doch wieder alles auf den Admin zurück.

    Die Cloud ist aktuell wie eine Runde Jenga, aus dem Cloud Türmchen wird ständig ein Element mehr raus gezogen und irgendwann bricht das ganze zusammen.

    • Tom sagt:

      Im Prinzip ist der Cloud Ansatz schon richtig. Backup ist einfacher, Security ist einfacher umzusetzen, Verfügbarkeit und die Performance sind besser. Und das Preis Leitungsverhältnis auch.

      Nachteil ist, für die oben genannten Vorteile, muss man sich auf Gedeih und Verderb auf den Dienstleiser verlassen. Wenn der an irgendeiner Stelle Mist baut, ist es dann eben schnell vorbei mit den Vorteilen. Und da man es eben nicht selber in der Hand hat, weiß man im Zweifelsfall vielleicht auch gar nicht, ob der Dienstleister Mist gebaut hat oder nicht.

      Hauptproblem ist eben, dass die Entscheider in der IT meist nur die oben genannten Vorteile sehen oder sehen wollen und sich vor den Nachteilen verschließen.

      • R.S. sagt:

        Der Dienstleister muß nicht einmal Mist bauen.
        Man muß sich bewusst sein, das man seine Daten in fremde Hände gibt. Und wenn es da einen neugierigen Admin gibt, schaut der in die Kundendaten rein, und da er Admin ist, kann er auch gleich die Protokolle, die seine Schnüffelei protokolliert haben, bereinigen.

        Man muß auch ein sehr starkes Vertrauen in den Dienstleister und seine Mitarbeiter haben.
        Und bei der Cloud ist man auch noch abhängig von dem Funktionieren des Internetzugangs.
        Gibt es da eine Störung, ist man quasi handlungsunfähig, da man keinen Zugriff mehr auf seine Cloudinhalte hat.
        Und wenn da z.B. ein Bagger o.Ä. die Leitung raus reißt, dann ist man das u.U. auch schon einmal ein paar Tage.
        Bei OnPrem kann man bis auf wenige Ausnahmen (z.B. Email senden/empfangen) weiterarbeiten.

      • Hobbyperte sagt:

        “ … , muss man sich auf Gedeih und Verderb auf den Dienstleiser verlassen. “

        Genau so etwas nannte man früher „VERANTWORTUNGSLOS“! Nur ist heute eben Effizienz und damit: Profit, Profit, Profit – wichtiger als ALLES andere. Man fragt sich, was lernt man da eigentlich? An diesen sogenannten „Hoch“schulen und Uni’s ?? (ganz besonders speziell in den Bereichen Jura, Volks- und Betriebswirtschaft !)

    • Foegi sagt:

      Ich habe schon lange aufgegeben auf die Risiken der Cloud hinzuweisen. Die Geschäftsleitung will nur die Vorteile wahrnehmen, der Rest passiert „uns“ ja eh nie und falls doch können wir ein paar Stunden Ausfall verschmerzen.
      Die Partnerfirmen machen dir die Cloud ebenfalls ohne Ende schmackhaft, weil sie mit weniger Personalaufwand genauso abkassieren können.
      Jedem ist klar was bei „ein paar Stunden Ausfall“ passiert. Sämtliche Häuptlinge rennen dann bei dir im Büro im Kreis und wollen in sekundentakt wissen wann wieder alles funktioniert.
      Mehr als ein Schulterzucken werde ich dann als Antwort nicht geben können.

  2. Georg sagt:

    Eigentlich müssten jetzt BSI und/oder Innenministerium (oder ein nicht-existentes EU-Äquivalent) ähnliche Briefe an MS schicken, sonst könnt’s passieren, das MS mit Bastellösungen versucht die CISA abzufrühstücken, während die außeramerikanischen Kunden mit dem Ofenrohr ins Gebirge schauen…

    Aber was red‘ ich…

  3. Anonymous sagt:

    Wann kommt das BSI in die Gänge und verdonnert die Admins in Deutschland?

  4. 1ST1 sagt:

    Schön ist das auf jeden Fall nicht, aber darüber hinaus sollte man nicht die viel direkter treffenden aktuellen Phishing-Attacken aus den Augen verlieren, insbesondere wenn es sehr raffiniert speziell auf deutsche Empfänger zugeschnitten wird.

    https://securityaffairs.com/161747/cyber-crime/ta547-targeting-german-orgs.html
    https://thehackernews.com/2024/04/ta547-phishing-attack-hits-german-firms.html

    • M sagt:

      cave: Nebelkerzen ;)))
      „wenn Du merkst, das Dein Pferd tot ist, steig ab“

    • R.S. sagt:

      Naja, dazu muß aber jemand:
      1. das angehängte Zip öffnen
      2.die darin enthaltene .lnk öffnen
      3. das System muß die Ausführung von Remote Powershell Scripten zulassen

      1 und 2 sollte man nie tun, da ist Schulung der Benutzer gefragt.
      Und 3. sollte per Gruppenrichtlinie eh deaktiviert sein.

      Und schon das alleinige Anschauen der Mail zeigt doch schon, das es Spam ist.
      Ein Lieferant wird einen nicht mit Lieber Kunde ansprechen, sondern mit Namen.
      Auch ist i.d.R. eine Kundennummer vorhanden.
      Und wenn man die Mail sieht, sollte man mal nachdenken, ob man da überhaupt etwas bestellt hat.
      Wenn nicht, gleich in die Ablage P damit.
      Falsch machen kann man damit nichts.
      Ist die Rechnung echt gewesen, dann kommt irgendwann eine Zahlungserinnerung.
      Lieber eine derartige Mail zu viel gelöscht als eine zu wenig!

      • Mark Heitbrink sagt:

        3. ist aktiv und per GPO konfiguriert. WinRM und Powershell remoting via https, damit man mit LAPS und dem Windows Admin Center arbeiten kann

      • 1ST1 sagt:

        Gerade in kleineren Betrieben sind die Systeme oftmals nicht ausreichend gehärtet und für Nutzersensiblisierung hat man da oft auch nicht ausreichend Ressourcen.

        Diese Angreifer würden es nicht mehr tun, wenn es nicht mehr funktionieren würde. Und es reicht denen schon, wenn nur ein Bruchteil darauf reinfällt.

    • TBR sagt:

      Auch wir bekommen relativ viele Phishing Mails. „Defender for Office“ ist aber schon sehr gut. Dann noch ASR und weitere strenge Regeln inkl. Anhangfilter – da kommt nicht mehr viel durch.

      • Ott sagt:

        Oder einfach ein vernünftiges System nutzen, das nicht jeden Mist ausführt.

        Uhr macht Euch mitschuldig, sowas zu betreuen…

        • 1ST1 sagt:

          Was für eine Uhr?

          Und wenn du an irgendso ein Opensource Frickel-OS als Desktop im Hintergrund denkst, auch Windows lässt sich so härten, dass nicht jeden Mist ausführt. Ihr (! – nicht „Uhr“) müsst das nur machen.

  5. Thorsten M. sagt:

    „Hintergrund ist, dass staatliche Akteure beim Hack die E-Mail-Kommunikation zwischen Kunden und Microsoft mitlesen konnten und in diesen Mails wohl auch Sicherheitsinformationen für Kundensysteme enthalten waren.“
    […]
    „Zu den abgezogenen Daten gehören laut CISA auch Authentifizierungsdaten, die zwischen Microsoft-Kunden und Microsoft per E-Mail ausgetauscht wurden.“

    Wer vertrauliche und sensible Informationen, und dazu gehören auch Authentifizierungsdaten und Sicherheitsinformationen, unverschlüsselt per E-Mail sendet, dem ist nicht mehr zu helfen!

    E-Mail ist wie Postkarte!

    Wir nutzen im IT-Team schon seit mehreren Jahren S/MIME-Signierung standardmäßig, vertrauliche Daten werden von uns grundsätzlich nur verschlüsselt gesendet. Und wenn der Kommunikationspartner keine S/MIME-Verschlüsselung in seinen Mails unterstützt, dann werden solche Informationen auf einem anderen Kanal übertragen.

    Ja, es gäbe auch die Möglichkeit, PGP in Mails zu nutzen. Aber ich habe noch keinen Geschäftspartner oder Dienstleister gesehen, der das macht. PGP kenne ich nur im CCC-Umfeld, bei Heise und div. NGOs.

  6. 1ST1 sagt:

    Das mit dem SMIME sollest du nochmal näher erklären… Wo findet denn da Ver- und Entschlüsselung statt? Was ist, wenn du Zugriff auf Quell- oder Zielmailserver hast?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert