News Microsoft bestätigt Cyberangriff: Hacker griffen wochenlang auf interne E-Mails zu

Ich verstehe die Aufregung nicht wirklich.

MS wurde gehackt, MS sagt kein Problem, liegt nicht an der Sicherheit. Das ist schon ziemlich dreist, wenn man einen Testaccount mit Zugriffsrechten versieht in dem Masse, dass Mails abgegriffen werden können.
Statt sich dem zuzuwenden wird die Meinung vertreten, ah, die bösen Russen warens(Behaupten kann man alles). Also gibt es nix zu sehen, weitergehen. Dabei werden direkt die Sicherheitsbedenken wegkaschiert, dabei wären diese doch eher Fragwürdig.
Aus meiner Sicht, das kann man natürlich anders sehen, versucht MS da nur abzulenken, da dieses Abgreifen von Mails schlicht nicht akzeptabel ist bei einer solchen Firma. Gerade weil sie immer von Sicherheit schwadronieren.
Natürlich ist es schwer, ein gerüttelt Mass an Sicherheit zu geben. Das will ich gar nicht abstreiten. Dennoch lässt es ein gewisses Geschmäckle über, wenn ich sehe, wie dreist MS behauptet es liege nicht an der Sicherheit. Woran denn sonst???
Unfähigkeit? Demenz(wie beim Kanzler)? Gleichgültigkeit?

Die hatten nach Adam Riese von November bis 12.Jan2024 Zeit, da Schindluder zu betreiben! Das alleine lässt mir schon die Haare zu Berge stehen, wenn man schon weiss, dass man Ziel NR.1 ist als OS.
 
  • Gefällt mir
Reaktionen: w0wka
Artikel-Update: Unsicheres Passwort und keine MFA

Gestern hat Microsoft in einem Blogbeitrag neue Informationen zu dem Vorfall veröffentlicht. Darin bestätigt der Konzern, dass die Multifaktor-Authentifizierung (MFA) des von Midnight Blizzard infiltrierten Test-Tenant-Kontos nicht aktiv war. Darüber hinaus gesteht Microsoft auch indirekt, den Account durch ein unsicheres Passwort geschützt zu haben, indem das Unternehmen erneut auf die von den Angreifern genutzte Password-Spraying-Attacke verweist und dazu erklärt, dass bei dieser Angriffstechnik „eine kleine Teilmenge der beliebtesten oder wahrscheinlichsten Passwörter“ verwendet werde. Angreifer würden damit versuchen, sich bei mehreren Konten anzumelden, so Microsoft.

Um nicht entdeckt zu werden und Kontosperrungen durch eine große Anzahl fehlgeschlagener Anmeldeversuche zu vermeiden, hätten sich die Angreifer außerdem auf eine begrenzte Anzahl von Zielkonten sowie wenige verteilte Login-Versuche beschränkt. Zur Verschleierung der Aktivitäten sei eine Proxy-Infrastruktur zum Einsatz gekommen. Midnight Blizzard habe den Angriff über einen langen Zeitraum hinweg durchgeführt, bis den Hackern schließlich eine erfolgreiche Anmeldung gelang.

Danach sei eine alte OAuth-Testanwendung mit erweiterten Zugriffsrechten auf die Unternehmensumgebung von Microsoft kompromittiert worden. Anhand weiterer neu erstellter OAuth-Anwendungen und einem neuen Nutzerkonto sei es Midnight Blizzard damit schließlich gelungen, auf die E-Mail-Postfächer des Microsoft-Personals zuzugreifen.

Weitere Organisationen sind wohl betroffen

Microsoft erklärt in dem Beitrag auch, der Konzern habe im Rahmen der Ermittlungsarbeiten herausgefunden, dass es die Hackergruppe ebenfalls auf andere Organisationen abgesehen hatte. Welche das genau sind, verschweigt das Unternehmen. Dass der IT-Konzern HP Enterprise kürzlich einen vergleichbaren Cyberangriff gemeldet hatte, passt diesbezüglich aber ins Bild. Microsoft betont, man sei bereits dabei, betroffene Organisationen zu benachrichtigen.
 
  • Gefällt mir
Reaktionen: Xood, konkretor, Land_Kind und 2 andere
Na ist doch geil -_-

Ich kapier zwar, dass man manchmal einen Test-Account mit einfachem Zugriff braucht, aber warum dem dann gefühlt unendlich Berechtigungen verpassen?!
 
  • Gefällt mir
Reaktionen: FLCL, Sascha631 und Tzk
MS hatte also niemals ein Sicherheitsproblem, sondern es waren die bösen Hacker, die ein argloses altes Konto gekapert haben. Das war niemals wegen der fehlenden Sicherheit, sondern ... weben weil ... das Konto hatte ja irgendwann mal in der Steinzeit, oder wars Kreidezeit? egal, seine Berechtigung.

Hüstelt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Tzk
Password-Spraying also, dass es nicht aufgefallen ist das dort durchgehend Anmeldeversuche gescheitert sind und dann auch noch ein so einfaches Password verwendet wurde ist ja echt der Hammer.

Und so ein Unternehmen verlangt bei fast jeder Windows Interaktion nen Microsoft Konto. Na dann hoffen wir mal das die Datenbank mit den Konten nicht kompromittiert wird wenn sowas schon ewig nicht auffält.
 
  • Gefällt mir
Reaktionen: Cool Master
lobenswerte sehr transparente Kommunikation.
 
Rickmer schrieb:
Ich kapier zwar, dass man manchmal einen Test-Account mit einfachem Zugriff braucht

Ehrliche Frage - warum? Gerade im Unternehmen kann man das doch gut Komplex machen und nur der wo Zugriff brauch bekommt das PW z.B. mittels Netzwerkfreigabe. Klappt bei uns in einem 10 Personen Unternehmen auch, wie das ein Milliarden Konzern nicht hinbekommt muss man nicht verstehen.
 
  • Gefällt mir
Reaktionen: SVΞN und Abrexxes
Und jeder Adminhansl wird mit einer separaten 2FA für jeden seiner verwalteten Tenants genötigt...
 
  • Gefällt mir
Reaktionen: Klubkola und ReactivateMe347
Geht zu Azure, deine Angreifer sind schon da :D. Mal im ernst, das ist unglaublich peinlich, wie oft Microsoft sowas passiert. Gefühl sind sie bei den großen IT-Konzernen (MS; Apple, Facebook, Google, Amazon) mit Abstand am inkompetentesten - und dennoch verwenden alle Firmen sie - selbst da, wo sie problemlos ersetzbar sind, z.B. bei Teams.
Ergänzung ()

Zulgohlan schrieb:
Und jeder Adminhansl wird mit einer separaten 2FA für jeden seiner verwalteten Tenants genötigt...
Macht was ich sage, nicht was ich tue!
Ergänzung ()

Jeffus schrieb:
Und so ein Unternehmen verlangt bei fast jeder Windows Interaktion nen Microsoft Konto.
Internet weg beim Einrichten und gut ist. Ich würde mein Windows nie mit einem Live-Account betreiben.
 
ReactivateMe347 schrieb:
Internet weg beim Einrichten und gut ist. Ich würde mein Windows nie mit einem Live-Account betreiben.
Das haben die doch schon lange gefixt, jetzt muss man das per Shell bypassen.
irgendwann wird auch das gefixt und dann geht's sicherlich in Richtung custom ISO.
 
Jeffus schrieb:
Password-Spraying also, dass es nicht aufgefallen ist das dort durchgehend Anmeldeversuche gescheitert sind und dann auch noch ein so einfaches Password verwendet wurde ist ja echt der Hammer.
Wieso sollte es? Die Server verarbeiten wahrscheinlich jeden Tag Hunderttausende von Anmeldungen und viele werden sich auch vertippen.
Und wenn MS mitbekommt mit was für einem Passwort ich versuche mich bei ihnen anzumelden wäre das vermutlich noch ein viel größerer skandal. Das wird doch hoffentlich gehashed, gesalted und nur via Challenge/Response angefragt.
 
Jeffus schrieb:
Das haben die doch schon lange gefixt, jetzt muss man das per Shell bypassen.
irgendwann wird auch das gefixt und dann geht's sicherlich in Richtung custom ISO.
Oder in Richtung Linux. Wenn ich Cloud-Zwang will, dann nehme ich Chrome OS :D
Das mit kein Internet geht nicht mehr?! Ich meine, bei Win 11 22h2 hätte das noch geklappt?!
 
Ich sehe das Thema seit vielen Jahren nur noch pragmatisch, teilweise sogar positiv.
IT Security Problem = Mehr Arbeit, mehr Jobs, mehr Geld.
Ganze Firmen leben von den Problemchen bei Microsoft, die Stunden die da drauf gehen und abgerechnet werden...
Aber man will es ja so, möglichst einfach, alles in die Cloud, schön Azure, alles Remote und natürlich alles angreifbar. Sicher gibt es nicht. Man kann nur die Hürden höher setzen, aber schon vom Aufbau wird es immer unsicherer, dazu kommen viele Schlampereien.
Eins muss man Microsoft aber auf jeden Fall lassen, es gibt keine Anbieter die was besseres für die Masse haben. Trotz aller Probleme arbeite ich auch gerne damit.

Mensch_lein schrieb:
DAS ist die Sachlage, nicht das OS hat versagt, sondern die Nutzer!
Die Nutzer haben keinen Bock sich mit anderen Systemen zu befassen, wollen es möglichst einfach und wie immer.
 
Voldemordt schrieb:
Hallo,

dazu kann ich immer nur sagen, Täter finden und Hände abhacken. Egal wo die herkommen.

Hacker finde ich einfach zum kotzen.
Aber abhacken ist doch auch hacken… zum kotzen…
 
Rickmer schrieb:
aber warum dem dann gefühlt unendlich Berechtigungen verpassen?!

Das Problem ist nicht das Konto gewesen, sondern die Anwendung die dahinter steht. Die brauchte wohl erweiterte Rechte.

Aber hier kommt was anderen zum Tragen: warum ist die Testumgebung, auf der garantiert immer viele verwaiste Accounts eben zu Testzwecken rumexistieren und nicht gewartet werden mit 2Faktor oder starken Passwörtern, überhaupt mit dem Produktivsystemen verbunden? Nur wegen der Accountverwaltung? Man KANN dies anderes lösen! Nur sind das extra Kosten und etwas mehr Aufwand, warscheinlich der Ausschlaggebende Faktor, warum man die Sicherheit so vernachlässigt.

Heißt für mich, man wollte hier an Infrastruktur sparen. Ganz Grober Schnitzer!
Öffentliche Testsysteme gehören höchst isoliert und maximal mit eingeschränkten Leserechten auf freigebenen Ressource des Produktivsystems ausgestattet. Administrative Zugänge nur mit gesonderte Accounts, die sich via VPN vorher einwählen müssen und erst von da aus die entsprechenden Tätigkeiten vornehmen können, damit ja keine Verbindung in die interne Produktivumgebung geschaffen wird.

coffee4free schrieb:
dass die Multifaktor-Authentifizierung (MFA) des von Midnight Blizzard infiltrierten Test-Tenant-Kontos nicht aktiv war

um ehrlich zu sein, auch wenn es nervig ist, das sollte man wenn man schon die Infrastruktur hat, doch erzwingen, auch bei Testumgebungen dann.

coffee4free schrieb:
Password-Spraying-Attacke verweist und dazu erklärt, dass bei dieser Angriffstechnik „eine kleine Teilmenge der beliebtesten oder wahrscheinlichsten Passwörter“ verwendet werde.

solche Attacken sind schwierig zu beherren - wobei man dies, auch wenn es für den Kunden unangenehm wäre, unterbinden könnte, wenn man vor das gewählte Passwort einen 5-stelligen, zufallsgenerierten und alphanummerischen Präfix voranstellt, den der Kunde per Email erhält und jedesmal zusammen mit dem Kennwort eingeben muss. 5 Stellen deshalb, weil das die Menge ist, die ein durchschnittlicher Mensch sich gerade noch so merken kann.

coffee4free schrieb:
Um nicht entdeckt zu werden und Kontosperrungen durch eine große Anzahl fehlgeschlagener Anmeldeversuche zu vermeiden, hätten sich die Angreifer außerdem auf eine begrenzte Anzahl von Zielkonten sowie wenige verteilte Login-Versuche beschränkt. Zur Verschleierung der Aktivitäten sei eine Proxy-Infrastruktur zum Einsatz gekommen. Midnight Blizzard habe den Angriff über einen langen Zeitraum hinweg durchgeführt, bis den Hackern schließlich eine erfolgreiche Anmeldung gelang.

hier hat Microsoft auch geschlampt! auch wenn es aufwendig ist für den Kunden, sollte spätestens noch 10 - 15 gescheiterten Loginversuchen, egal über welchen Zeitraum, eine hinterlegte ZweitEmail und ggf SMS an den Anwender erfolgen, das das Konto vorerst gesperrt wurde und man erst mit dem zugesendeten Code das Konto wieder entsperren und das Passwort ändern muss.


coffee4free schrieb:

OAuth, Passkey oder auch persistent gültige Zugriffstokens, die nicht mal ihre Gültigkeit verlieren, wenn man sich woanders abmeldet oder gar das Passwort ändert, sind ein allgemeines Krebsgeschwür meiner Meinung nach!

Beispiel YT und Zugriffstokens: Da klaut dir einer durch irgendwas deinen Cookie mit dem Zugangstoken vom Rechner und du musst hilflos mit ansehen, das der selbst wenn du ein PW änderst etc. auf deinen Account schalten und walten kann, wie er will. Erst der Support kann dies unterbinden.

OAuth und Passkey sind schön bequem für den Anwender, doch wehe dem, es wird etwas kompormitiert!
Ja, wenn mal die Logins lokal speichert sind die auch weg, dennoch haben die meisten User nicht komplett alles gespeichert.
mit OAuth und Passkey sieht das ganze anders aus, dort wird es interessant, vorallem wenn die Angreifer doch schaffen sollten, an den Privaten Schlüssel vom Passkey kommen z.B..
Und ja, der private Schlüssel soll unauslesbar auf einen Sicherheitschip liegen ... jaja blabla - nur weil bisher offizell noch keiner nen Weg softwareseitig reingefunden hat. Aber wenn doch das mal passiert, wird das Geschrei groß werden, denn einen hartwareseitigen Chip zu patchen, wird nicht so einfach werden.
Und bei OAuth - ja wir sehen gerade wie das Kartenhaus um die Sicherheit da zusammenfällt, denn Zugriff auf die Infrastruktur und die entsprechenden Daten machen den ganzen sicheren OAuth Prozess zunichte.
 
Nun ja, Lücken gibt es überall. Auf einer gewissen Art und Weise.

Ich weiß noch als ich 16 Jahre alt war und wir das DSL768er hatten (noch das mit NTBA/NTBBA/Splitter), dort gabs mal Probleme mit dem Login. Irgendwann kam ein Telekomtechniker raus, zu uns nach Hause und wir versuchten das Problem zu lösen.

Plötzlich gab er mir einen Zettel, wo ein Testaccount von der Telekom drauf war. Diese Logindaten+Passwort (ganz ehrlich, das wird mir keiner Glauben, das Passwort war das einfachste auf der Welt. 4 Buchstaben, 1 Wort also, komplette kleinschreibung und jeder kennt das).

Beim eintragen bat er mich noch darum, den Zettel in den Müll zu schmeissen, wenn wir fertig sind, weil er diesen Account eigtl. gar nicht weitergeben darf.

Wie auch immer. Am Ende hatten wir unseren Anschluss wieder hinbekommen und unsere Zugangsdaten funktionierten auch.

Der Zettel war aber noch da.

Weiß jetzt nicht wie das intern bei der Telekom geregelt wird, aber würde mich nicht wundern, wenn diese Accountdaten noch funktionieren würden, wenn ich sie noch hätte.

Ich will das PW hier nicht nennen, ist zwar sowieso wertlos ohne die komplette Einwahlgeschichte, aber trotzdem. Stellt euch vor, es ist so simpel wie z.B. "auto".

So viel zum Thema : Sicherheit. Lücken gibts "überall". Nur gut, das ich keine kriminelle Energie hatte...

LG
 
  • Gefällt mir
Reaktionen: FLCL
cbtestarossa schrieb:
Schuld sind immer die Hacker aber nie die Systeme.
Und weil das so ist gibts harte Strafen von den Politstatisten verordnet.
Hilft nur niemanden.
Klar, ich breche also in dein Haus ein und raube dich aus und du bist der Schuldige weil dein Zaun nicht hoch genug ist. Ich bin unschuldig und gehöre natürlich nicht bestraft.
 
Zurück
Oben