Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Zitat von mpachmann am 18. März 2024, 19:08 Uhrhttps://www.borncity.com/blog/2024/03/18/midnight-blizzard-hack-bei-microsoft-us-behrde
[English]Der Hack von Microsofts Cloud-Lösungen (Microsoft 365, Exchange Online) durch Hacker wie Storm-0588 und Midnight Blizzard könnte nun doch Auswirkungen auf die Geschäfte von Redmond haben. Großkunden und US-Behörden sehen sich wohl nach Alternativen bei Amazon und Google um. Und mir liegt die Stellungnahme eines Sicherheitsunternehmens vor, das ernste Konsequenzen in Bezug auf Microsofts Cloud-Angebote anmahnt.
Rückblick: Die Microsoft-Hacks
In den letzten Monaten ist Microsoft mehrfach Opfer von mutmaßlich staatsnahen Hackern geworfen. Im Juli 2023 hatte ich im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt über den Einbruch in E-Mail-Konten der US-Regierung berichtet, die unter outlook.com und Exchange Online liefen. Dieser Fall wurde von Microsoft zwar anfänglich herunter gespielt, aber hinter den Kulissen brodelte es, wurden im Nachgang doch unglaubliche Versäumnisse bei Microsoft bekannt (siehe GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten), die diesen Hack erst ermöglichten.
Dann wurde im Januar 2024 der nächste Hack bekannt. Mutmaßlich russische Hacker der Gruppe Midnight Blizzard war es gelungen, über einen Test-Tenant in das E-Mail-System von Microsoft einzudringen und dort gezielt die Mail-Konten von bestimmten Microsoft Führungskräften einzusehen. Ich hatte im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert darüber berichtet. Auch dieser Fall wurde von Microsoft heruntergespielt (wir haben es gemerkt und sofort alles unterbunden).
Aber der Fall hat nochmals eine andere Dimension bekommen, da einerseits bekannt wurde, dass Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt worden war – ob es einen Zusammenhang mit dem Microsoft-Fall gibt, ist mir unbekannt. Und Microsoft musste vor wenigen Tagen eingestehen, dass Midnight Blizzard auch nach Januar 2024 in der Lage war, Angriffe auf das Unternehmen zu fahren. Ich hatte einige Informationen im Beitrag Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen offen gelegt.
Noch nicht im Blog aufgegriffen habe ich den erfolgreichen Angriff auf den International Monetary Fund (IMF), der vorige Woche Freitag bekannt wurde. Die Kollegen von Bleeping Computer berichteten hier, und beim Querlesen ist mir "die benutzen eine Microsoft 365 Cloud-basierende E-Mail-Plattform" ins Auge gesprungen. Ob es was mir dem Microsoft-Hack zu tun hat, ist natürlich offen.
Und dann gab es im Februar 2024 noch den erfolgreichen Angriff auf den US-Gesundheitsdienstleister UnitedHealthcare Group (UHG) bzw. dessen Tochter Optum mit dessen Change Healthcare-Plattform, die für Abrechnungen zuständig ist. Dort sollen nach einem BlackCat/AlphV-Ransomware-Angriff auch große Datenmengen erbeutet worden sein. Auch hier ist mir unbekannt, was zum erfolgreichen Angriff beitrug. Bei heise greift man hier den Angriff auf den IMF sowie den britischen NHS auf, die Zahl der Cyberangriffe auf IT-Strukturen hat gravierende Ausmaße angenommen. Die Nervosität in diesem Bereich ist mit Händen zu greifen.
Stellungnahme von Tenable
Beim Schreiben meiner Blog-Beiträge ging mir "wie können die Kunden Microsofts so ruhig sein" durch den Kopf. Vorige Woche ging mir dann eine Stellungnahme vom Sicherheitsanbieter Tenable zu, die den Microsoft-Hack durch Midnight Blizzard als "strategischen Schlag" klassisfizieren, da Microsoft zugegeben musste, dass eigener Quellcode sowie „weitere Geheimnisse" kompromittiert wurden. Midnight Blizzard sei keine harmlose Bande von Kriminellen, sondern ein hochgradig professionelles, von Russland unterstütztes Team, das den Wert der Daten, die sie erbeutet haben, ganz genau kennt – und weiß, wie man diese Informationen verwenden kann, um maximalen Schaden anzurichten. Angesichts der Beziehungen, die Russland zu China und anderen strategischen Gegenspielern unterhält, könnte dies sehr schnell sehr problematische Folgen haben, war die Einschätzung der Tenable-Experten.
Tenable meinte, da Microsoft "allgegenwärtig ist", müsse man dort auch wesentlich strengeren Maßstäben an Verantwortlichkeit und Transparenz anlegen, jedenfalls sei Microsoft dem in letzter Zeit nicht immer gerecht geworden. Die Kernaussage: "Selbst jetzt teilen sie [gemeint ist Microsoft] mit uns nicht die ganze Wahrheit. So wissen wir beispielsweise nicht, welcher Quellcode kompromittiert wurde. Dass so etwas immer und immer wieder passiert, sollte uns allen sauer aufstoßen." Tenable weist darauf hin, dass es sich bei den Hacks nicht um isolierte Vorfälle handele. Das Fazit von Tenable lautete: Die fragwürdigen Security-Praktiken und irreführenden Aussagen von Microsoft sollen ganz bewusst verhindern, dass die ganze Wahrheit ans Licht kommt.
Amit Yoran, Chairman und CEO, Tenable, wurde aus einem Januar 2024-Statement so zitiert: "Wenn frühere Abläufe ein Indikator für das aktuelle und künftige Verhalten sind, dann wird es spannend sein, zu beobachten, ob auch diese Geschichte in den kommenden Monaten scheibchenweise ans Licht kommen wird. Auch wenn Microsoft die Ereignisse bis zu einem gewissen Grad als unwesentlich einstufen kann, fordern die SEC Cybersecurity-Regeln dennoch einen Dialog, und sollten auch auf die Entscheidung über eine Offenlegung ausstrahlen. Wir werden sehen, ob zu dieser Geschichte weitere Details publik werden – im Moment geht es mit winzigen Schritten in eine sicherere Zukunft. Ich habe explizit gesagt „Wir werden sehen, ob zu dieser Geschichte weitere Details publik werden", weil jeder, der aufmerksam hinsieht, erkennen kann, dass das Verhalten von Microsoft bei Cyber-Fragen konsistent einem Muster von Desinformation und Täuschung folgt." Das ist quasi die Bankrotterklärung in Bezug auf "wie viel Vertrauen können wir noch in Microsoft haben".
US-Behörden suchen Alternativen
Mir ist sind gerade Artikel unter die Augen gekommen, dass US-Behörden )und wohl auch Großkunden) sich wohl nach Alternativen zu Microsoft umschauen. Der Initiale Artikel ist bei The Information erschienen (nicht frei abrufbar), Golem hat es in diesem Artikel aufgegriffen und weist in nachfolgendem Mastodon-Post darauf hin.
Die geraffte Fassung: Das US-Außenministerium habe nach dem Storm-0558-Angriff damit begonnen, "seine Daten auf Server von Amazon (AWS) und Alphabet (Google Cloud) zu verlagern". Derzeit befände sich das US-Außenministerium zudem in der "Prüfung von Angeboten für einen IT-Vertrag" mit einem Auftragsvolumen von 10 Milliarden US-Dollar über sieben Jahre Laufzeit. Der Vertrag soll Cloud-Dienste, Produktivitätssoftware und Cybersicherheitstools beinhalten und mit der Microsoft-Konkurrenz verhandelt werden. Es heißt aber, dass das Ministerium nicht gänzlich von Microsoft weg geht, sondern mehrere Cloud-Anbieter haben will. Einfacher wird deren Verwaltung dann auch nicht werden. Es scheint, dass die Zeit, in der bei Microsoft "die Bäume in den Cloud-Himmel wachsen" enden könnte.
Kritik von Microsoft-Kunden am "Lock-in"
Kritik kommt auch von großen Microsoft-Kunden, die feststellen mussten, dass Entra ID als Identitäts- und Zugriffsmanagement von Microsoft nicht vollständig durch konkurrierende Lösungen von Anbietern wie Okta oder Cloudflare zu ersetzen seien. Dies wird aber benötigt, um darüber Office- oder Teams-Anmeldungen zu verwalten. Schwachstellen in Entra ID würden daher eine große Anzahl Kunden betreffen.
Eine Gruppe von Cloud-Infrastrukturanbietern in Europa (Cloud Infrastructure Providers in Europe, CISPE) hat Microsoft zudem kürzlich ein Ultimatum gestellt, berichtet The Register hier. Microsoft wurde aufgefordert, die "ungerechtfertigten Funktions- und Preisdiskriminierungen gegen den fairen Wettbewerb" zu beenden. Sollte sich die Praxis nicht ändern, droht CISPE mit rechtlichen Schritten. Hört sich an, als ob es etwas ungemütlich für den Microsoft-Vertrieb werden könnte.
https://www.borncity.com/blog/2024/03/18/midnight-blizzard-hack-bei-microsoft-us-behrde
[English]Der Hack von Microsofts Cloud-Lösungen (Microsoft 365, Exchange Online) durch Hacker wie Storm-0588 und Midnight Blizzard könnte nun doch Auswirkungen auf die Geschäfte von Redmond haben. Großkunden und US-Behörden sehen sich wohl nach Alternativen bei Amazon und Google um. Und mir liegt die Stellungnahme eines Sicherheitsunternehmens vor, das ernste Konsequenzen in Bezug auf Microsofts Cloud-Angebote anmahnt.
Rückblick: Die Microsoft-Hacks
In den letzten Monaten ist Microsoft mehrfach Opfer von mutmaßlich staatsnahen Hackern geworfen. Im Juli 2023 hatte ich im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt über den Einbruch in E-Mail-Konten der US-Regierung berichtet, die unter outlook.com und Exchange Online liefen. Dieser Fall wurde von Microsoft zwar anfänglich herunter gespielt, aber hinter den Kulissen brodelte es, wurden im Nachgang doch unglaubliche Versäumnisse bei Microsoft bekannt (siehe GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten), die diesen Hack erst ermöglichten.
Dann wurde im Januar 2024 der nächste Hack bekannt. Mutmaßlich russische Hacker der Gruppe Midnight Blizzard war es gelungen, über einen Test-Tenant in das E-Mail-System von Microsoft einzudringen und dort gezielt die Mail-Konten von bestimmten Microsoft Führungskräften einzusehen. Ich hatte im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert darüber berichtet. Auch dieser Fall wurde von Microsoft heruntergespielt (wir haben es gemerkt und sofort alles unterbunden).
Aber der Fall hat nochmals eine andere Dimension bekommen, da einerseits bekannt wurde, dass Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt worden war – ob es einen Zusammenhang mit dem Microsoft-Fall gibt, ist mir unbekannt. Und Microsoft musste vor wenigen Tagen eingestehen, dass Midnight Blizzard auch nach Januar 2024 in der Lage war, Angriffe auf das Unternehmen zu fahren. Ich hatte einige Informationen im Beitrag Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen offen gelegt.
Noch nicht im Blog aufgegriffen habe ich den erfolgreichen Angriff auf den International Monetary Fund (IMF), der vorige Woche Freitag bekannt wurde. Die Kollegen von Bleeping Computer berichteten hier, und beim Querlesen ist mir "die benutzen eine Microsoft 365 Cloud-basierende E-Mail-Plattform" ins Auge gesprungen. Ob es was mir dem Microsoft-Hack zu tun hat, ist natürlich offen.
Und dann gab es im Februar 2024 noch den erfolgreichen Angriff auf den US-Gesundheitsdienstleister UnitedHealthcare Group (UHG) bzw. dessen Tochter Optum mit dessen Change Healthcare-Plattform, die für Abrechnungen zuständig ist. Dort sollen nach einem BlackCat/AlphV-Ransomware-Angriff auch große Datenmengen erbeutet worden sein. Auch hier ist mir unbekannt, was zum erfolgreichen Angriff beitrug. Bei heise greift man hier den Angriff auf den IMF sowie den britischen NHS auf, die Zahl der Cyberangriffe auf IT-Strukturen hat gravierende Ausmaße angenommen. Die Nervosität in diesem Bereich ist mit Händen zu greifen.
Stellungnahme von Tenable
Beim Schreiben meiner Blog-Beiträge ging mir "wie können die Kunden Microsofts so ruhig sein" durch den Kopf. Vorige Woche ging mir dann eine Stellungnahme vom Sicherheitsanbieter Tenable zu, die den Microsoft-Hack durch Midnight Blizzard als "strategischen Schlag" klassisfizieren, da Microsoft zugegeben musste, dass eigener Quellcode sowie „weitere Geheimnisse" kompromittiert wurden. Midnight Blizzard sei keine harmlose Bande von Kriminellen, sondern ein hochgradig professionelles, von Russland unterstütztes Team, das den Wert der Daten, die sie erbeutet haben, ganz genau kennt – und weiß, wie man diese Informationen verwenden kann, um maximalen Schaden anzurichten. Angesichts der Beziehungen, die Russland zu China und anderen strategischen Gegenspielern unterhält, könnte dies sehr schnell sehr problematische Folgen haben, war die Einschätzung der Tenable-Experten.
Tenable meinte, da Microsoft "allgegenwärtig ist", müsse man dort auch wesentlich strengeren Maßstäben an Verantwortlichkeit und Transparenz anlegen, jedenfalls sei Microsoft dem in letzter Zeit nicht immer gerecht geworden. Die Kernaussage: "Selbst jetzt teilen sie [gemeint ist Microsoft] mit uns nicht die ganze Wahrheit. So wissen wir beispielsweise nicht, welcher Quellcode kompromittiert wurde. Dass so etwas immer und immer wieder passiert, sollte uns allen sauer aufstoßen." Tenable weist darauf hin, dass es sich bei den Hacks nicht um isolierte Vorfälle handele. Das Fazit von Tenable lautete: Die fragwürdigen Security-Praktiken und irreführenden Aussagen von Microsoft sollen ganz bewusst verhindern, dass die ganze Wahrheit ans Licht kommt.
Amit Yoran, Chairman und CEO, Tenable, wurde aus einem Januar 2024-Statement so zitiert: "Wenn frühere Abläufe ein Indikator für das aktuelle und künftige Verhalten sind, dann wird es spannend sein, zu beobachten, ob auch diese Geschichte in den kommenden Monaten scheibchenweise ans Licht kommen wird. Auch wenn Microsoft die Ereignisse bis zu einem gewissen Grad als unwesentlich einstufen kann, fordern die SEC Cybersecurity-Regeln dennoch einen Dialog, und sollten auch auf die Entscheidung über eine Offenlegung ausstrahlen. Wir werden sehen, ob zu dieser Geschichte weitere Details publik werden – im Moment geht es mit winzigen Schritten in eine sicherere Zukunft. Ich habe explizit gesagt „Wir werden sehen, ob zu dieser Geschichte weitere Details publik werden", weil jeder, der aufmerksam hinsieht, erkennen kann, dass das Verhalten von Microsoft bei Cyber-Fragen konsistent einem Muster von Desinformation und Täuschung folgt." Das ist quasi die Bankrotterklärung in Bezug auf "wie viel Vertrauen können wir noch in Microsoft haben".
US-Behörden suchen Alternativen
Mir ist sind gerade Artikel unter die Augen gekommen, dass US-Behörden )und wohl auch Großkunden) sich wohl nach Alternativen zu Microsoft umschauen. Der Initiale Artikel ist bei The Information erschienen (nicht frei abrufbar), Golem hat es in diesem Artikel aufgegriffen und weist in nachfolgendem Mastodon-Post darauf hin.
Die geraffte Fassung: Das US-Außenministerium habe nach dem Storm-0558-Angriff damit begonnen, "seine Daten auf Server von Amazon (AWS) und Alphabet (Google Cloud) zu verlagern". Derzeit befände sich das US-Außenministerium zudem in der "Prüfung von Angeboten für einen IT-Vertrag" mit einem Auftragsvolumen von 10 Milliarden US-Dollar über sieben Jahre Laufzeit. Der Vertrag soll Cloud-Dienste, Produktivitätssoftware und Cybersicherheitstools beinhalten und mit der Microsoft-Konkurrenz verhandelt werden. Es heißt aber, dass das Ministerium nicht gänzlich von Microsoft weg geht, sondern mehrere Cloud-Anbieter haben will. Einfacher wird deren Verwaltung dann auch nicht werden. Es scheint, dass die Zeit, in der bei Microsoft "die Bäume in den Cloud-Himmel wachsen" enden könnte.
Kritik von Microsoft-Kunden am "Lock-in"
Kritik kommt auch von großen Microsoft-Kunden, die feststellen mussten, dass Entra ID als Identitäts- und Zugriffsmanagement von Microsoft nicht vollständig durch konkurrierende Lösungen von Anbietern wie Okta oder Cloudflare zu ersetzen seien. Dies wird aber benötigt, um darüber Office- oder Teams-Anmeldungen zu verwalten. Schwachstellen in Entra ID würden daher eine große Anzahl Kunden betreffen.
Eine Gruppe von Cloud-Infrastrukturanbietern in Europa (Cloud Infrastructure Providers in Europe, CISPE) hat Microsoft zudem kürzlich ein Ultimatum gestellt, berichtet The Register hier. Microsoft wurde aufgefordert, die "ungerechtfertigten Funktions- und Preisdiskriminierungen gegen den fairen Wettbewerb" zu beenden. Sollte sich die Praxis nicht ändern, droht CISPE mit rechtlichen Schritten. Hört sich an, als ob es etwas ungemütlich für den Microsoft-Vertrieb werden könnte.