Microsoft bestätigt Cyberangriff: Hacker griffen wochenlang auf interne E-Mails zu

Update Marc Stöckel
168 Kommentare
Microsoft bestätigt Cyberangriff: Hacker griffen wochenlang auf interne E-Mails zu
Bild: pixabay.com / trazika

Microsoft hat es mal wieder erwischt. Der Konzern hat bestätigt, Ziel eines Cyberangriffs geworden zu sein, angeblich von einer russischen Hackergruppe namens Midnight Blizzard. Viele Details zu dem Vorfall nennt der Konzern noch nicht. Auf Microsofts Sicherheitspraktiken wirft der Angriff allerdings kein gutes Licht.

Der Angreifer ist kein Unbekannter

Bei dem Angreifer habe es sich um eine vom russischen Staat unterstützte Hackergruppe namens Midnight Blizzard gehandelt, erklärt Microsoft in einem neuen Blogbeitrag. Die Gruppe hat schon in der Vergangenheit für Aufsehen gesorgt. Sie ist ebenso bekannt unter den Bezeichnungen Nobelium, Cozy Bear oder APT29 und wurde zum Beispiel für die im Jahr 2020 erfolgte Verbreitung der Sunburst-Malware über ein Softwareupgrade des SolarWinds-Produkts Orion verantwortlich gemacht – ein prominenter Cyberangriff, der damals Zehntausende von SolarWinds-Kunden betraf.

Angriff erfolgte über ein Testkonto

Microsoft behauptet, die Angreifer hätten sich Ende November 2023 Zugriff auf ein „altes, nicht produktives Test-Tenant-Konto“ des Konzerns verschafft. Aufgefallen sei der Angriff am 12. Januar – die Hacker haben sich des Zugriffs also über einen Zeitraum von mehreren Wochen bedient. Infiltriert wurde das Testkonto laut Microsoft durch einen Password-Spraying-Angriff.

Von dem infiltrierten Test-Account aus sei es der Hackergruppe möglich gewesen, Zugriff auf einen „sehr kleinen Prozentsatz“ von Unternehmens-E-Mail-Konten von Microsoft zu erlangen. Betroffen seien unter anderem E-Mail-Accounts von Führungskräften und Mitarbeitern der Unternehmensbereiche Cybersicherheit und Recht. Man sei gerade dabei, die Mitarbeiter, auf deren E-Mails zugegriffen wurde, zu benachrichtigen, erklärt der Konzern. Die Angreifer hätten sowohl E-Mails als auch angehängte Dokumente exfiltriert.

Eine Schwachstelle in Microsoft-Produkten? Auf keinen Fall!

Laut Microsofts Ermittlungen war Midnight Blizzard wohl zumindest zu Beginn des mehrwöchigen Zugriffszeitraumes auf der Suche nach Informationen über sich selbst. Einzelheiten zu dem Vorfall nennt Microsoft noch nicht, diese wolle man aber „bei Bedarf“ bekannt geben. „Wir setzen unsere Untersuchungen fort und werden auf der Grundlage der Ergebnisse weitere Maßnahmen ergreifen und weiterhin mit den Strafverfolgungsbehörden und den zuständigen Regulierungsbehörden zusammenarbeiten“, so der Konzern.

Auf eine Schwachstelle in Microsoft-Produkten sei der Cyberangriff nicht zurückzuführen, betont das Unternehmen. Auch gebe es bisher keinerlei Hinweise darauf, dass die Angreifer auf Kundenumgebungen, Produktivsysteme, Quellcode oder KI-Systeme zugegriffen hätten. In einer Mitteilung an die US-Börsenaufsichtsbehörde SEC behauptet der Konzern außerdem, der Vorfall habe bisher keine wesentlichen Auswirkungen auf die Geschäftstätigkeit des Unternehmens gehabt. Mögliche Konsequenzen für die Finanzlage oder das Betriebsergebnis seien noch nicht ermittelt worden.

Ein Vorfall, der Fragen aufwirft

Nachdem Microsoft bezüglich seiner Sicherheitspraktiken schon im vergangenen Jahr gehörig Kritik einstecken musste, wirft auch der aktuelle Sicherheitsvorfall gleich zu Beginn des Jahres 2024 wieder unangenehme Fragen auf, denen sich das Unternehmen unweigerlich stellen muss. Die Ausführungen des Konzerns legen nahe, dass hier mehrere fragwürdige Entscheidungen getroffen wurden, die den Angriff überhaupt erst ermöglicht haben.

Das beginnt schon bei dem Password-Spraying-Angriff: Dass dieser erfolgreich war, lässt annehmen, dass der Test-Account mit einem schwachen Passwort geschützt war. Denn für Password-Spraying bedienen sich Angreifer in der Regel einer Liste häufig verwendeter und üblicherweise sehr einfach gestrickter Passwörter und testen diese an verschiedenen Zielkonten, in der Hoffnung, eine gültige Kombination von Zugangsdaten zu finden. Auch eine aktive Zwei-Faktor-Authentifizierung (2FA) gab es offenkundig nicht, denn diese hätte den Zugriff auf das Konto selbst mit den richtigen Anmeldeinformationen effektiv unterbunden.

Obendrein hatte Microsoft den Test-Account offenbar mit umfassenden Zugriffsrechten ausgestattet. Denn eine Schwachstelle wurde laut Microsoft ja nicht ausgenutzt, ergo muss das Konto bereits über Privilegien verfügt haben, die ausreichend waren, um Zugriff auf echte Mitarbeiterkonten zu erlangen. Dass die Angreifer nicht auf mehr als einen „sehr kleinen Prozentsatz“ der E-Mail-Konten des Unternehmens zugegriffen haben, war demnach offenkundig Glückssache und in erster Linie der Zielsetzung von Midnight Blizzard geschuldet.

Update

Unsicheres Passwort und keine MFA

Gestern hat Microsoft in einem Blogbeitrag neue Informationen zu dem Vorfall veröffentlicht. Darin bestätigt der Konzern, dass die Multifaktor-Authentifizierung (MFA) des von Midnight Blizzard infiltrierten Test-Tenant-Kontos nicht aktiv war. Darüber hinaus gesteht Microsoft auch indirekt, den Account durch ein unsicheres Passwort geschützt zu haben, indem das Unternehmen erneut auf die von den Angreifern genutzte Password-Spraying-Attacke verweist und dazu erklärt, dass bei dieser Angriffstechnik „eine kleine Teilmenge der beliebtesten oder wahrscheinlichsten Passwörter“ verwendet werde. Angreifer würden damit versuchen, sich bei mehreren Konten anzumelden, so Microsoft.

Um nicht entdeckt zu werden und Kontosperrungen durch eine große Anzahl fehlgeschlagener Anmeldeversuche zu vermeiden, hätten sich die Angreifer außerdem auf eine begrenzte Anzahl von Zielkonten sowie wenige verteilte Login-Versuche beschränkt. Zur Verschleierung der Aktivitäten sei eine Proxy-Infrastruktur zum Einsatz gekommen. Midnight Blizzard habe den Angriff über einen langen Zeitraum hinweg durchgeführt, bis den Hackern schließlich eine erfolgreiche Anmeldung gelang.

Danach sei eine alte OAuth-Testanwendung mit erweiterten Zugriffsrechten auf die Unternehmensumgebung von Microsoft kompromittiert worden. Anhand weiterer neu erstellter OAuth-Anwendungen und einem neuen Nutzerkonto sei es Midnight Blizzard damit schließlich gelungen, auf die E-Mail-Postfächer des Microsoft-Personals zuzugreifen.

Weitere Organisationen sind wohl betroffen

Microsoft erklärt in dem Beitrag auch, der Konzern habe im Rahmen der Ermittlungsarbeiten herausgefunden, dass es die Hackergruppe ebenfalls auf andere Organisationen abgesehen hatte. Welche das genau sind, verschweigt das Unternehmen. Dass der IT-Konzern HP Enterprise kürzlich einen vergleichbaren Cyberangriff gemeldet hatte, passt diesbezüglich aber ins Bild. Microsoft betont, man sei bereits dabei, betroffene Organisationen zu benachrichtigen.