{"id":578,"date":"2023-07-25T21:44:41","date_gmt":"2023-07-25T18:44:41","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=578"},"modified":"2023-07-25T22:24:53","modified_gmt":"2023-07-25T19:24:53","slug":"microsoft-cloud-attack-azuread-strom-0558","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/microsoft\/microsoft-cloud-attack-azuread-strom-0558\/2023\/07\/","title":{"rendered":"Microsoft Cloud L\u00fccke in AzureAD erm\u00f6glicht Attacke"},"content":{"rendered":"\n
\n
\n

Im Juni 2023 gelang es einer mutma\u00dflich in China ans\u00e4ssigen Hackergruppe, die von Microsoft als Storm-0558 bezeichnet wurde, Zugriff auf E-Mail-Konten in der Microsoft Cloud zu erlangen. Dies betraf etwa 25 Organisationen, darunter Regierungsbeh\u00f6rden wie das US-Au\u00dfenministerium, sowie entsprechende Privatkonten von Personen, die m\u00f6glicherweise mit diesen Organisationen in Verbindung standen.<\/p>\n<\/div>\n\n\n\n

\n
\"\"<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n

Die Angreifer erlangten Zugriff auf die Konten, indem sie im Besitz eines privaten (MSA)-Kundenschl\u00fcssels f\u00fcr Microsoft-Konten waren. Dieser MSA-Key erm\u00f6glichte es ihnen, gef\u00e4lschte Sicherheitstokens zu generieren. Allerdings konnten diese Sicherheitstokens nicht nur f\u00fcr private Microsoft-Konten (z.B. Outlook.com) verwendet werden. Aufgrund von Fehlern im Code der Azure-Dienste wurden die Sicherheitstokens nicht korrekt verifiziert und erm\u00f6glichten den Zugriff auf Azure AD-Konten (Azure Active Directory).  Der gestohlene Microsoft-Signaturschl\u00fcssel erm\u00f6glichte den Bedrohungsakteuren potenziell, Zugriffstoken f\u00fcr ALLE pers\u00f6nlichen Microsoft-Kontodienste und Anwendungen im Azure Active Directory (AAD) zu f\u00e4lschen.  Microsoft hat den kompromittierten Schl\u00fcssel gesperrt, um weitere Zugriffe zu verhindern, aber es ist nicht sicher, ob die Angreifer vorher bereits Zugriff auf die betroffenen Konten hatten und m\u00f6glicherweise Hintert\u00fcren in die Microsoft-Cloud eingef\u00fchrt haben. Die Bedrohung wurde als schwerwiegender Sicherheitsvorfall <\/strong>betrachtet, der Transparenz und Offenlegung aller Informationen von Microsoft erfordert, um m\u00f6gliche unautorisierte Zugriffe zu \u00fcberpr\u00fcfen. Kunden wurden aufgefordert, von Microsoft mehr Unterst\u00fctzung und Informationen zu verlangen, und es wurde erwogen, alternative Cloud-Anbieter in Betracht zu ziehen, wenn Microsoft nicht ausreichend reagierte.<\/p>\n

<\/p>\n

Die Lessons Learned aus diesem Vorfall sind vielf\u00e4ltig und betreffen sowohl Microsoft als auch Unternehmen, die Cloud-Dienste nutzen:<\/p>\n\n\n

St\u00e4rkung der Sicherheitsma\u00dfnahmen<\/td>Cloud-Anbieter wie Microsoft m\u00fcssen ihre Sicherheitsma\u00dfnahmen kontinuierlich verbessern und angemessen auf potenzielle Bedrohungen reagieren. Ein gestohlener Schl\u00fcssel sollte nicht derart weitreichende Zugriffsm\u00f6glichkeiten bieten.<\/td><\/tr>
Transparenz und Offenlegung<\/td>Cloud-Anbieter m\u00fcssen im Falle eines Sicherheitsvorfalls transparent sein und umfassende Informationen \u00fcber das Ausma\u00df des Angriffs, die betroffenen Dienste und die ergriffenen Gegenma\u00dfnahmen bereitstellen.<\/td><\/tr>
Strenge Validierung von Tokens<\/td>Die Validierung von Zugriffstokens muss bei allen Cloud-Diensten streng durchgef\u00fchrt werden, um sicherzustellen, dass gef\u00e4lschte Tokens nicht akzeptiert werden.<\/td><\/tr>
\u00dcberwachung und Analyse von Log-Daten<\/td>Unternehmen sollten ihre Cloud-Dienste aktiv \u00fcberwachen und Log-Daten analysieren, um verd\u00e4chtige Aktivit\u00e4ten fr\u00fchzeitig zu erkennen und darauf angemessen zu reagieren. Unternehmen die SAP Anwendungen in der Cloud, wie z.B. Azure betreiben, sollten unbedingt eine Alarmanlage wie SAP ETD<\/a> installieren.<\/td><\/tr>
Multi-Faktor-Authentifizierung<\/td>Die Implementierung von Multi-Faktor-Authentifizierung kann die Sicherheit von Cloud-Konten erheblich erh\u00f6hen, da Angreifer zus\u00e4tzliche H\u00fcrden \u00fcberwinden m\u00fcssen, um Zugriff zu erlangen.<\/td><\/tr>
Risikobewertung und Compliance<\/td>Unternehmen sollten regelm\u00e4\u00dfig ihre Cloud-Infrastruktur auf Sicherheitsrisiken und Compliance-Anforderungen \u00fcberpr\u00fcfen und entsprechende Ma\u00dfnahmen ergreifen, um diese zu erf\u00fcllen.<\/td><\/tr>
Kommunikation und Zusammenarbeit<\/td>Im Falle eines Sicherheitsvorfalls sollten Cloud-Anbieter eng mit ihren Kunden zusammenarbeiten, um sie \u00fcber die Situation zu informieren und bei der Behebung von Problemen zu unterst\u00fctzen.<\/td><\/tr>
Diversifizierung von Cloud-Anbietern<\/td>Unternehmen k\u00f6nnten in Erw\u00e4gung ziehen, ihre Cloud-Infrastruktur bei verschiedenen Anbietern zu hosten, um das Risiko eines umfassenden Ausfalls durch einen einzigen Vorfall zu reduzieren.<\/td><\/tr>
Sensibilisierung der Mitarbeiter<\/td>Mitarbeiter sollten f\u00fcr Phishing-Angriffe und andere Social Engineering-Methoden sensibilisiert werden, um die Wahrscheinlichkeit von erfolgreichen Angriffen zu verringern.<\/td><\/tr>
Sicherheitsaudits und Penetrationstests<\/td>Regelm\u00e4\u00dfige Sicherheitsaudits und Penetrationstests k\u00f6nnen dazu beitragen, Schwachstellen fr\u00fchzeitig zu erkennen und zu beheben, bevor Angreifer sie ausnutzen k\u00f6nnen.<\/td><\/tr><\/tbody><\/table>
Diese Lessons Learned sollten sowohl von Cloud-Anbietern als auch von Unternehmen, die Cloud-Services nutzen, ber\u00fccksichtigt werden, um die Sicherheit und den Schutz von sensiblen Daten zu gew\u00e4hrleisten.<\/figcaption><\/figure>\n\n\n

Der Vorfall bei Microsoft hebt die Bedeutung von Logging-Daten f\u00fcr die schnelle Erkennung und Eind\u00e4mmung von Cyber-Intrusionen<\/strong> hervor. Er vergleicht das Prinzip der rechtzeitigen Erkennung von Eindringlingen in einem physischen Haus mit der Notwendigkeit, Cyber-Angriffe in einem Netzwerk fr\u00fchzeitig zu erkennen, um Sch\u00e4den zu begrenzen. Dabei wird auf einen k\u00fcrzlich aufgetretenen schwerwiegende Sicherheitsbedrohung hingewiesen, bei dem die US Regierung betroffen war und durch den Zugriff auf wichtige Logging-Daten verd\u00e4chtige Aktivit\u00e4ten schnell erkannt und Gegenma\u00dfnahmen ergriffen werden konnten. Microsoft k\u00fcndigt an, wichtige Logging-Daten, die von CISA und anderen Partnern als entscheidend f\u00fcr die Identifizierung von Cyber-Angriffen identifiziert wurden, Kunden ohne zus\u00e4tzliche Kosten zur Verf\u00fcgung zu stellen. Dieser Schritt wird als Verbesserung der Cyberabwehr und des Incident Response f\u00fcr alle Microsoft-Kunden betrachtet. Es ist zu betonen, dass das Bereitstellen von Logging-Daten ohne zus\u00e4tzliche Kosten ein wichtiger Schritt hin zu sicherer Technologie ist und die Sicherheit der Organisationen, Unternehmen und des L\u00e4nderverwaltungen vorantreibt. CISA und Microsoft haben in den letzten Monaten zusammengearbeitet, um wichtige Logging-Aktivit\u00e4ten in ihre Angebote aufzunehmen. Es wird betont, dass weiterhin daran gearbeitet wird, dass alle Technologiehersteller Secure-by-Design-Prinzipien annehmen, einschlie\u00dflich der Bereitstellung der erforderlichen Sicherheitsdaten und starker Standardkontrollen.<\/p>\n\n\n