„Grob fahrlässig“: Microsoft schob brisante Azure-Schwachstelle mehrere Monate auf
Schon im März hatte das Sicherheitsunternehmen Tenable Microsoft über eine brisante Sicherheitslücke in Azure Active Directory (AD) informiert, die die Daten unzähliger Organisationen gefährdete. Vollständig behoben hat der Redmonder Softwarekonzern das Problem aber erst gestern.
Durch die Schwachstelle soll es Angreifern möglich gewesen sein, ohne jegliche Authentifizierung auf sensible Anwendungen und Daten zuzugreifen, die über Azure AD verwaltet werden. Der Tenable-CEO Amit Yoran bezeichnete Microsofts Umgang mit dem Problem als „grob unverantwortlich, wenn nicht gar grob fahrlässig“. Wie Yoran in einem Beitrag auf LinkedIn erklärt, sei sein Team durch die Sicherheitslücke sogar in der Lage gewesen, „Authentifizierungsgeheimnisse einer Bank“ aufzudecken.
Mehr als 90 Tage für eine Teilbehebung
Da die Sicherheitsforscher die Schwachstelle als äußerst bedrohlich einstuften, sollen sie Microsoft schon am 30. März und damit unmittelbar nach ihrer Entdeckung über das Problem informiert haben. Dennoch habe sich das Unternehmen bis Anfang Juli und damit über 90 Tage Zeit gelassen, um lediglich „eine Teilbehebung zu implementieren – und das nur für neue Anwendungen, die in den Dienst geladen wurden.“
Die genannte Bank war daher bis gestern noch anfällig für Hackerangriffe – und damit mehr als 120 Tage nachdem die Forscher Microsoft erstmals auf die Sicherheitslücke aufmerksam gemacht hatten. Obendrein seien aber auch alle anderen Organisationen angreifbar gewesen, die den anfälligen Dienst vor der Bereitstellung des nur teilweise wirksamen Patches eingeführt hatten. Und vielen davon war nicht einmal bewusst, dass ihre Daten gefährdet waren. Folglich war es ihnen seither auch gar nicht möglich, risikomindernde Maßnahmen umzusetzen.
Plötzlich ging doch alles viel schneller
Nachdem Tenable Microsoft gewarnt hatte, mit den Erkenntnissen über die Schwachstelle an die Öffentlichkeit zu gehen, setzte Microsoft schließlich einen Termin für die vollständige Behebung fest – auf den 28. September. Dass Microsoft die Sicherheitslücke damit erst rund ein halbes Jahr nach ihrer Entdeckung vollständig patchen wollte, stieß bei Yoran allerdings nicht gerade auf Verständnis. „Wir wissen über das Problem Bescheid, Microsoft weiß über das Problem Bescheid und hoffentlich wissen es die Bedrohungsakteure nicht“, warnte der Sicherheitsforscher weiter. „Microsofts Erfolgsbilanz bringt uns alle in Gefahr. Und es ist noch schlimmer als wir dachten.“
Die mediale Aufmerksamkeit zeigt Wirkung: Nur einen Tag nach der Veröffentlichung von Yorans Beitrag stellte der Konzern einen vollständigen Fix bereit, woraufhin die Sicherheitsforscher auf ihrer Webseite weitere Details veröffentlichten. Zuvor hatte sich das Forscherteam mit detaillierten Informationen noch zurückgehalten, um betroffene Organisationen nicht unnötig zu gefährden. Doch nun seien die Forscher „nicht mehr in der Lage, auf zuvor betroffene Hosts zuzugreifen“, heißt es in dem Bericht von Tenable.
Kein gutes Jahr für Microsoft
In diesem Jahr sah sich Microsoft schon des Öfteren heftiger Kritik an seinen Sicherheitspraktiken ausgesetzt. So gelang es vor wenigen Monaten einer Gruppe chinesischer Hacker, dem Konzern einen sensiblen Microsoft-Kontosignaturschlüssel (MSA) zu stehlen und infolgedessen auf E-Mail-Konten zahlreicher Organisationen zuzugreifen – darunter auch mehrere Regierungsbehörden. Bis heute will Microsoft noch keinerlei Kenntnis darüber erlangt haben, wie die Angreifer den Schlüssel in ihren Besitz bringen konnten. „Die Methode, mit der der Akteur den Schlüssel erworben hat, ist Gegenstand laufender Ermittlungen“, erklärte der Konzern am 14. Juli.
Später stellten Sicherheitsforscher von Wiz fest, dass die Hacker mit dem gestohlenen Signaturschlüssel Zugangstoken für alle Azure-Active-Directory-Anwendungen generieren konnten, die mit Microsofts OpenID v2.0 arbeiten. Folglich soll auch ein Zugriff auf persönliche Microsoft-Konten, die beispielsweise im Zusammenhang mit Skype oder Xbox-Diensten genutzt werden, möglich gewesen sein. „Dazu gehören verwaltete Microsoft-Anwendungen wie Outlook, SharePoint, OneDrive und Teams sowie Kundenanwendungen, die die Microsoft-Konto-Authentifizierung unterstützen, einschließlich solcher, die die Funktion ‘Anmelden mit Microsoft’ anbieten“, so die Forscher in ihrem Bericht.
Auf die massive Kritik von Behörden und Sicherheitsexperten, der sich Microsoft vor diesem Hintergrund stellen musste, hatte der Konzern letztendlich auch eine Antwort: Er verteilt Geschenke. So erhalten Azure-Kunden ab September ohne jegliche Zusatzkosten Zugriff auf ein eingeschränktes Cloud-Logging, um mögliche Cyberangriffe besser untersuchen zu können. Bisher hat das Unternehmen seine Kunden für den Zugriff auf Protokolldaten im Rahmen eines kostenpflichtigen Abonnements namens Purview Audit immer zusätzlich zur Kasse gebeten.