Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsCrash-Dump: So gelangten Hacker an Microsofts Signaturschlüssel
Ich glaube die Story kein Stück. Da stürzt ein Rechner ab. In den Crashdump kommt der unglaublich wichtige Schlüssel rein ... jaja ... dann wird der mehrfach verschickt und am Ende wurde der Rechner eines einzelnen Mitarbeiters kompromittiert, darüber kam ein Hacker rein, hat mal eben den Crashdump gegriffen, den Schlüssel erkannt und gegriffen und an die Chinesen geliefert?
Jau ...
So stümperhaft und unverantwortlich Microsoft mit dem Debakel umgegangen ist bzw umgeht weiß ich ehrlich gesagt nicht, ob ich ihnen die Story abkaufen soll. Würde mich kein Bisschen wundern, wenn da einfach irgend was erfunden wird, um die Sache "abschließen" zu können
So stümperhaft und unverantwortlich Microsoft mit dem Debakel umgegangen ist bzw umgeht weiß ich ehrlich gesagt nicht, ob ich ihnen die Story abkaufen soll. Würde mich kein Bisschen wundern, wenn da einfach irgend was erfunden wird, um die Sache "abschließen" zu können
Tatsächlich denke ich, dass die nicht wissen was passiert ist. Aber dies war eine dubiose Lücke, die bei der Recherche gefunden und dann einfach als Ursache ernannt wurde.
Ich frage mich wirklich ob das nicht nicht alle Unternehmen kompromittiert hat. Energieversorger etc.
die chinesischen Angreifer hatten vorab Zugriff auf genau die richtigen Systeme bei Microsoft
die wussten, wo sie welche Dateien finden können
der Schlüssel wurde von internen Sicherheitsmechanismen nicht erkannt und nicht aus dem Dump entfernt
die konnten den Dump unbemerkt abziehen
anschließend analysierten und in der wüsten Folge von Hex-zahlen den privaten MSA-Schlüssel isolieren und wussten um dessen Fähigkeiten
der war zwar abgelaufen, aber funktionierte trotzdem noch
und obwohl er nur für private Konten gedacht war, auch für Business-Konten verwendet werden konnte
also obendrein quasi einen Masterkey (der eigentlich gar nicht existieren sollte) darstellt
Nette Geschichte, aber das sind ein bissel zu viele unglückliche "Zufälle" für meinen Geschmack ...
Deutlich wahrscheinlicher ist, dass es sich um einen NSA-Masterschlüssel handelt. Und da die NSA nicht wieder mit den Fingern in der Keksdose erwischt werden will oder zugeben möchte, dass denen das Teil abgezogen wurde, gibt es halt nun diese absolut glaubwürdige Geschichte 😅
Carsti80 schrieb:
Ich frage mich wirklich ob das nicht nicht alle Unternehmen kompromittiert hat. Energieversorger etc.
Um ehrlich zu sein, müsste man die gesamte Azure-Infrastruktur als kompromittiert ansehen. Ähnlich wie damals mit den Hafnium-Hacks bei den Exchange-Servern. Bin gespannt wie Microsoft DAS prüfen und das Vertrauen wiederherstellen möchte.
Haben wir nicht. Wenn unser Office mit allen Daten weg ist, ist das eigentlich nur sehr nervig, aber nicht kritisch.
Das Kritische ist unsere Eigenentwicklung, die ohne Cloud nicht (vernünftig) umsetzbar wäre.
Viel zu viele hier assoziieren Cloud mit etwas Office und Datenspeicher. Wenn's nur so einfach wäre...
In vielen Firmen dürften die kritischen Produkte die sein, die in Consumer-Medien wir CB nicht angesprochen werden und dessen Namen der Hobbyist nicht ließt.
Finde ich auch komisch. 2 Sicherheitsebenen sollten das (das ein Schlüssel in die Datei gelangt) verhindern und beide haben zufälligerweise genau dieses Mal nicht angeschlagen?!
Absurd ist, dass es einen solchen Generalschlüssel überhaupt gab/gibt.
Absurd ist, dass Microsoft alles erst mal abstreitet bis es nicht mehr zu leugnen ist.
Absurd ist, dass entgegen jeder best practice das kompromittierte System nicht platt gemacht sondern einfach weiter betrieben wird.
Und du willst mir erzählen, dass eine PR-Erfindung um vor den Kunden einen Strich unter die Sache machen zu können absurd sei?
Ich sage nicht, dass es zwingend so ist - das können wir nicht wissen. Es aber als absurd abzutun und nach allem Versagen Microsofts Aussagen blind zu vertrauen ist dann doch schon extrem blauäugig...
Welcher Fokus soll das sein? Guck dir doch mal die Features der drei Plattformen an. Niemand wird 100% einer dieser Plattformen nutzen, aber diverse der Features bekommst du bei allen drei.
Wenn nicht, erklär mir doch mal, was nur auf Azure geht, außer irgendwelcher Windows-/Office-Geschichten, die nur ein Bruchteil sind.
Also selbst wenn sich das alles genau so zugetragen haben sollte, ist das ein Armutszeugnis.
Zwei Sicherheitssysteme versagen und ein Zugang eines Microsoft-Mitarbeiters, der in einem hochsensiblen Bereich arbeitet, wurde eben mal so unbemerkt gehackt.
Gut, ich halte soviel Inkompetenz durchaus für möglich.
Die Wahrheit werden wir wohl nie erfahren, und egal ob es nun tatsächlich Chinesen waren, oder die NSA, oder ob die Chinesen nicht Microsoft sondern die NSA gehackt haben und die NSA das nun Microsoft in die Schuhe schieben möchte , oder es doch Russen oder Aliens waren, ist in der Hinsicht auch belanglos, denn...
sini schrieb:
Um ehrlich zu sein, müsste man die gesamte Azure-Infrastruktur als kompromittiert ansehen. Ähnlich wie damals mit den Hafnium-Hacks bei den Exchange-Servern. Bin gespannt wie Microsoft DAS prüfen und das Vertrauen wiederherstellen möchte.
...ich schau mir das seit 25 Jahren mit an und dachte mir oft "jetzt muss doch mal jemand merken...".
Aber es wird nicht besser.
Sie brauchen nichts machen. Denn es ist egal was sie treiben. Sie werden weiterhin gekauft.
Bei Hafnium konnte ich damals ganz geschmeidig die Sicherungen bemühen und die Systeme kurzfristig auf einen Stand vor den Angriffen zurücksetzen. Das betrifft dann aber nicht nur den Exchange-Server, sondern quasi alle Systeme die an die AD gekoppelt sind.
Im April 2021 hab ich dann einen Kunden bekommen, bei dem seit Wochen die Türe offen war. Deren Virenscanner hat zwar zwischenzeitlich sein möglichstes versucht, aber das war ein verlorener Kampf. Im Endeffekt Stecker gezogen und einmal alles neu gemacht ... Server, Rechner, einfach ALLES!
Und das waren Wochen. Hier geht es um Monate!
Ben99 schrieb:
Sie brauchen nichts machen. Denn es ist egal was sie treiben. Sie werden weiterhin gekauft.
Wüsste auch nicht wie die das vollbringen wollen ... umfangreiche oder langfristige Sicherungen werden die nicht haben (in den AGB wird nur die Verfügbarkeit vereinbart, nicht die Datensicherheit; das ist dem Kunden selbst überlassen). Mal eben alles neu machen, geht auch nicht (Datenverlust usw.).
Selbst als Admin für diverse Azure-Tenants, wüsste ich nicht wo, wie, was ich überprüfen soll um einen Angriff per Master-Schlüssel auf die Schliche zu kommen. Und ehrlich gesagt ist das Microsofts Aufgabe, die werden dafür bezahlt ¯\(ツ)/¯
Wenn ich hier so manche Kommentare lese, denke ich mir, wieder einer, der seinen AD nicht in der Cloud hat, weil die ja so unsicher ist und MS sowieso keine Ahnung hat um dann vermutlich beim selbst gehosteten AD schon bei den Basics zu verkacken.
Fehler passieren, auch wenn sie nicht passieren dürften und wer den Schaden hat braucht für den Spot nicht sorgen. Das gehört leider zur Wahrheit des Lebens.
Ich wünsche mir, ich könnte nur einen Teil von dem, was die Leute da drauf haben. Würde mich ordentlich nach vorne bringen.
Nicht förderlich, dass Microsoft die übliche PR-Strategie gefahren hat. Da ist es nicht verwunderlich, dass so einige an der jetztigen Darstellung zweifeln.
Für meinen Geschmack ist das etwas zu wohlwollend: Race condition, unser super tools fanden nichts, der Hacker hat irgendwie doch den den Schlüssel drin finden können.
Entweder ist das die Fortsetztung des Totalversagens (z.B. deren Tools sind Schrott) oder das ist ehrlich und es war extrem unglücklich gelaufen.
„Aber wenn doch nur ich den Nutzernamen und das Passwort für meinen MS-Account kenne (und im Besitz des 3. Faktors bin), dann hab ich doch nichts zu befürchten.
Oder?
Oder?“
/off
Da liegt doch wohl ein „Design-Fehler“ vor, wenn ein zentraler MS-Schlüssel alle Kundentüren öffnet. Oder Absicht?
Fehler passieren, auch wenn sie nicht passieren dürften und wer den Schaden hat braucht für den Spot nicht sorgen. Das gehört leider zur Wahrheit des Lebens.
Ja, Fehler passieren, das lässt sich nicht komplett vermeiden.
Was für den Spott sorgt ist aber nicht der Fehler (wobei auch der schon harter Tobak ist), sondern der absolut stümperhafte, unverantwortliche und kundengefährdende Umgang damit.
Das ein solcher SuperGAU auf einer der größten Cloudplattformen dann selbst in den Fachmedien nur sehr verhalten behandelt und in den Breitenmedien überhaupt nicht erwähnt wird setzt dem Ganzen dann natürlich noch die Krone auf...
Der Klassiker. Fische auch ständig logs raus wo die Leute Passwörter in das Username Feld eintragen und die werden geloggt
Eigentlich braucht man nur eine Webseite und dann warten. Da fast alle das gleiche PW für alle Seiten nutzen und ggf. Referer im Browser zulassen oder sich Tracken lassen...
Große Systeme sind eben sehr komplex, und am Ende ist es ein Tradeoff zwischen Kosten und Risikominimierung.
Bei der NASA wird man da bereit sein was mehr Geld auszugeben, bei der Cloud sind es die Kunden normalerweise nicht. Vor allem, da Azure & co. für die große Mehrheit der Kunden deutlich sicherer sein dürfte, als es die In-House IT je leisten könnte.
Ergänzung ()
Carsti80 schrieb:
Ich glaube die Story kein Stück. Da stürzt ein Rechner ab. In den Crashdump kommt der unglaublich wichtige Schlüssel rein ... jaja ... dann wird der mehrfach verschickt und am Ende wurde der Rechner eines einzelnen Mitarbeiters kompromittiert, darüber kam ein Hacker rein, hat mal eben den Crashdump gegriffen, den Schlüssel erkannt und gegriffen und an die Chinesen geliefert?
Jau ...
Als jemand, der in einer größeren Firma und mit komplexen Systemen (aber lange nicht in der Größenordnung) zu tun hat, finde ich, dass das ziemlich realistisch klingt.
Die einfachen Angriffsvektoren wird MS gut unter Kontrolle haben, da sitzen ja keine Stümper rum. Z.B. gibt's ja offenbar mehrere Schichten an Secret-Scrubbing.
Aber MS ist ein extrem attraktives Ziel und sicherlich täglich etliche Angriffe auf die IT. Da ist es statistisch nur eine Frage der Zeit, bis einer mal Erfolg hat.
Menschen machen Fehler, auch ein Microsoft Ingenieur kann mal auf irgendein Social Engineering oder so reinfallen und ein Account wird kompromittiert.
Tools zum Secret-Scrubbing sind heute echt gut, aber auch nicht perfekt.
Und das kann jahrelang gut gehen, aber irgendwann kommt dann alles zusammen.
, oder es doch Russen oder Aliens waren, ist in der Hinsicht auch belanglos, denn...
