Microsoft gab letzte Woche bekannt, dass es herausgefunden hatte, dass seine Unternehmenssysteme von staatlich unterstützten russischen Hackern kompromittiert wurden, die hinter dem SolarWinds-Angriff steckten. Hacker konnten auf die E-Mail-Konten einiger Mitglieder des Führungsteams von Microsoft zugreifen und diese möglicherweise wochen- oder monatelang überwachen.
Während Microsoft in seiner ersten Offenlegung an die Securities and Exchange Commission am späten Freitag nicht viele Details darüber preisgab, wie Angreifer sich Zugriff verschafften, hat der Softwarehersteller nun eine vorläufige Analyse darüber veröffentlicht, wie Hacker seine Sicherheitsvorkehrungen verletzt haben. Microsoft warnte außerdem davor, dass die Hackergruppe zum Thema Wetter, bekannt als Nobelium oder „Midnight Blizzard“, wie Microsoft sie nennt, andere Organisationen angegriffen hat.
Nobelium verschaffte sich zunächst über einen Passwort-Spray-Angriff Zugriff auf Microsoft-Systeme. Bei diesem Angriff handelt es sich um einen Brute-Force-Angriff, bei dem Hacker ein Wörterbuch potenzieller Passwörter verwenden, um ein Konto anzugreifen. Darüber hinaus war für das kompromittierte Nicht-Produktions-Testmandantenkonto die Zwei-Faktor-Authentifizierung nicht aktiviert. Microsoft sagte, Nobelium habe „seinen Passwort-Spray-Angriff so angepasst, dass er auf eine begrenzte Anzahl von Konten abzielt und eine geringere Anzahl von Versuchen verwendet, um der Entdeckung zu entgehen.“
Bei diesem Angriff nutzte die Gruppe „ihren anfänglichen Zugriff, um eine ältere Test-OAuth-Anwendung zu identifizieren und zu kompromittieren, die über erweiterten Zugriff auf die Unternehmensumgebung von Microsoft verfügte“. OAuth ist ein weit verbreiteter offener Standard für die tokenbasierte Authentifizierung. Es wird häufig im Internet verwendet, um Ihnen die Anmeldung bei Apps und Diensten zu ermöglichen, ohne Ihr Passwort für eine Website preiszugeben. Denken Sie an die Websites, auf denen Sie sich möglicherweise mit Ihrem Gmail-Konto anmelden. Hier kommt OAuth ins Spiel.
Durch den erweiterten Zugriff konnte die Gruppe mehr bösartige OAuth-Anwendungen erstellen und Konten erstellen, um auf die Unternehmensumgebung von Microsoft und letztendlich auf den Office 365 Exchange Online-Dienst zuzugreifen und so Zugriff auf E-Mail-Posteingänge zu erhalten.
Das Sicherheitsteam von Microsoft erklärt: „MidnightBlizzard nutzt diese bösartigen OAuth-Anwendungen, um Microsoft Exchange Online- und Microsoft-Geschäfts-E-Mail-Konten zu authentifizieren.“
Microsoft hat nicht bekannt gegeben, wie viele Unternehmens-E-Mail-Konten angegriffen und angegriffen wurden, das Unternehmen hat es jedoch zuvor als „eine sehr kleine Teilmenge der Microsoft-Unternehmens-E-Mail-Konten, darunter Mitglieder unseres Führungsteams und Mitarbeiter in den Bereichen Cybersicherheit, Recht und andere Funktionen“ beschrieben.
Microsoft hat auch immer noch nicht den genauen Zeitplan bekannt gegeben, wie lange die Hacker sein Führungsteam und andere Mitarbeiter überwacht haben. Der erste Angriff ereignete sich Ende November 2023, doch Microsoft erfuhr davon erst am 12. Januar. Dies könnte bedeuten, dass die Angreifer seit fast zwei Monaten Microsoft-Führungskräfte ausspionieren.
Hewlett Packard Enterprise (HPE) gab Anfang dieser Woche bekannt, dass dieselbe Hackergruppe zuvor Zugriff auf seine „cloudbasierte E-Mail-Umgebung“ erhalten hatte. HPE nannte den Anbieter nicht, gab jedoch bekannt, dass der Vorfall „wahrscheinlich im Zusammenhang“ mit einer „begrenzten Anzahl von [Microsoft] SharePoint-Dateiexfiltrationen bereits im Mai 2023“ stand.
Der Angriff erfolgt nur wenige Tage, nachdem Microsoft Pläne zur Überarbeitung seiner Softwaresicherheit nach einem großen Angriff auf seine Azure-Cloud angekündigt hat. Dies ist der jüngste Cybersicherheitsvorfall, auf den Microsoft gestoßen ist. Zuvor, im Jahr 2021, wurden die E-Mail-Server von 30.000 Organisationen aufgrund einer Schwachstelle im Microsoft Exchange Server gehackt. Letztes Jahr drangen chinesische Hacker über eine Microsoft-Cloud-Schwachstelle in E-Mails der US-Regierung ein. Microsoft stand auch im Zentrum des massiven SolarWinds-Angriffs vor fast drei Jahren, und dieselbe Nobelium-Gruppe steckte hinter diesem peinlichen E-Mail-Angriff auf Führungskräfte.
Microsoft hat zugegeben, dass sein Schlüsseltestkonto über keine Zwei-Faktor-Authentifizierung verfügt, was in der Cybersicherheits-Community Anlass zur Sorge geben könnte. Dabei handelte es sich zwar nicht um eine Schwachstelle in der Microsoft-Software, es handelte sich jedoch um eine schlecht konfigurierte Testumgebung, die es Hackern ermöglichte, unbemerkt in das Unternehmensnetzwerk von Microsoft einzudringen. Anfang dieser Woche fragte CrowdStrike-CEO George Kurtz in einem Interview mit CNBC: „Wie führte eine Testumgebung außerhalb der Produktion zum Kompromiss der höchsten Beamten von Microsoft?“ Ich denke, da kommt noch mehr. "
Weitere Informationen wurden veröffentlicht, einige wichtige Details fehlen jedoch noch. Microsoft behauptet, dass, wenn heute dieselbe Testumgebung außerhalb der Produktion bereitgestellt würde, „durchgesetzte Microsoft-Richtlinien und -Workflows sicherstellen würden, dass MFA und unsere proaktiven Schutzmaßnahmen aktiviert sind“, um einen besseren Schutz vor diesen Angriffen zu gewährleisten. Microsoft muss noch viel erklären, insbesondere wenn es Kunden davon überzeugen möchte, dass es die Art und Weise, wie seine Software und Dienste entworfen, erstellt, getestet und ausgeführt werden, wirklich verbessert, um einen besseren Schutz vor Sicherheitsbedrohungen zu bieten.
Erfahren Sie mehr:
https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack/