News Midnight Blizzard: Hacker bohren noch immer in Microsofts Systemen herum

[Snowi]

Microsoft arbeitet an seiner Selbstverteidigung

Dass ich nicht lache. Vielleicht einfach mal grundlegendste Sicherheitskonzepte umsetzen? Wie wäre es damit?
Im CB Artikel steht es nicht so ausführlich, daher fasse ich mal zusammen: Das war ein altes und scheinbar nicht mehr verwendetes Testkonto mit "Endkundenrechten" in einer Entwicklungsumgebung, welches kein 2FA eingeschaltet hatte. Über dieses konnte man dann scheinbar auf das Netzwerk einer produktiven Mailumgebung zugreifen, und dort irgendwie weitere Logindaten abgreifen.

Also:
1) Warum war das veraltete Konto nicht deaktiviert? Jede Best-Practice-Anleitung für zentral gemanagte Accounts gibt dir z.B. als Faustregel 14-30 Tage als Ablauffrist an. Wird der Account in der Zeit nicht genutzt, wird er gesperrt. Gesperrt, nicht gelöscht. D.h. ist ein Mitarbeiter länger im Urlaub, ruft er bei Rückkehr bei der Hotline an, die entsperrt den, und alles wieder gut.
2) Wie kommt man mit einem Testaccount aus einem Entwicklernetz an den Traffic in einem Produktiven "E-Mail-Netz"?
3) Wieso war der Traffic nicht verschlüsselt? Oder wurden Server direkt infiltriert um die Logins aus den Mails abzugreifen bevor verschlüsselt wurde? Wtf?

Das ist einfach nur Versagen im Bezug auf Konzeptionelle Sicherheit, die gegen jede Art von Best Practices verstößt.

Klar, man muss sagen: Wenn ich als kleine Firma nur 2 Server habe, lässt sich das alles nicht so einfach umsetzen. Das ist was anderes. Wir reden hier aber von Microsoft... Und da kommen auch nach der Aktion bestimmt noch (Auch bei mir in der Firma) genug Leute, die meinen, Microsoft macht das besser als die anderen Firmen.
Das mag an einigen Stellen so sein. Aber scheinbar nicht an allen, und vor allem nicht an kritischen, siehe auch die letzten Vorfälle.

 

[luckysh0t]

Klar, nachdem Linux bereits auf allen möglichen IoT-Geräten, Routern und vor allem auch Servern läuft, wird's erst mit ein paar zusätzlichen Desktop-PCs interessant für Hacker...

Wenn man nur die Hälfte der einheitlichen Windows Clientsysteme auf der Welt durch eine ebenso einheitliche Linuxversion ersetzen würde, ja das würde bestimmt was ändern, denn dann können auch die durchschnittlichen Nutzer angegriffen werden, die aktuell ja wohl eher Windows nutzen.

Ich nutze Debian nur ohne GUI, wie ist das so bei den Distros mit GUI, haben die automatischen Updates an (wie jedes Windows ootb), oder muss man da auch manuell aktualisieren bzw. es extra einrichten?

 

[AGB-Leser]

Die Ironie dabei ist, dass Microsoft selbst viel auf Linux setzt. Windows ist nicht Microsofts Eierlegende Wollmilchsau. Die wollen in anderen Bereichen aufholen und Nutzergruppen gewinnen.
Für Microsoft selbst ist Windows auch nur eine Distribution, für den Endbenutzer Software mit Ablaufdatum, komischen Keys etc. - Jedem das seine.

Das mag durchaus sein, wobei sich der Anteil in Grenzen halten wird, schließlich haben die für fast alles ja selber Produkte aus eigenem Hause.
Mit den Schlüsseln stört mich nicht weiter, was mich stört:
Unklare Lizenzpolitik, selbst Microsoft selber ist nicht an Aufklärung interessiert.
Nutzer von Windows verlieren immer mehr die Kontrolle über das System, deren Dienste und Kommunikation

 

[Snowi]

Ich nutze Debian nur ohne GUI, wie ist das so bei den Distros mit GUI, haben die automatischen Updates an (wie jedes Windows ootb), oder muss man da auch manuell aktualisieren bzw. es extra einrichten?

In der Regel kriegst du gefühlt alle paar Stunden ein Popup, dass es Updates gibt. Automatisch installiert werden die aber nicht, außer man klickt es in der Gui an.

 

[SIR_Thomas_TMC]

Hm, müsste dagegen nicht ne simple 2FA absichern?

Deswegen sollte man nicht seine sensiblen Daten dort speichern, den man sieht was dabei rauskommt. Egal ob es Microsoft oder sonst was für Cloud Dienste es noch gibt.

Also sensible Daten kannst du ja auch verschlüsselt speichern. Dann erbeutet ein Angreifer nur kryptische Zeichen.

 

[SIR_Thomas_TMC]

Aha, ein Cyberkrieg

Ist mir noch der liebste, nach Informationskrieg. Kann man sich ja verhältnismäßig gut gegen schützen. Theoretisch.

 

[foofoobar]

Ich nutze Debian nur ohne GUI, wie ist das so bei den Distros mit GUI, haben die automatischen Updates an (wie jedes Windows ootb), oder muss man da auch manuell aktualisieren bzw. es extra einrichten?

Man hat die Wahl, so wie es sich gehört.
Freiheit ist eben was anderes als Freibier.

 

[Snowi]

Hm, müsste dagegen nicht ne simple 2FA absichern?

Hätte geholfen, war aber deaktiviert.

 

[luckysh0t]

Man hat die Wahl, so wie es sich gehört.
Freiheit ist eben was anderes als Freibier.

Mir geht es da auch um die Frage, ob der Nutzer von dieser Freiheit erfährt, ohne es vorher zu wissen. Und wie diese Freiheit konfiguriert ist. Eine Wahl bringt nur etwas, wenn man von dieser Wahl weis.

Aber das wurde mir ja beantwortet.

In der Regel kriegst du gefühlt alle paar Stunden ein Popup, dass es Updates gibt. Automatisch installiert werden die aber nicht, außer man klickt es in der Gui an.

 

[Blood011]

Russland macht und noch vorhat.

Dann frag dich mal wieso..


Das MS immer noch solche Prob hat ist echt traurig.

Aber ich nutze eh kein cloudmist.

Ergänzung (10. März 2024)

Russland hat uns den Krieg erklärt

Uns!?
Das ist nur die Antwort auf D seine taten.

 

[notnitro]

Man kann davon halten, was man möchte, aber VIEL mehr würde mich jetzt interessieren, was auf beiden Seiten "hinter den Kulissen" abgeht.

Also was MS an Gegenmaßnahmen umsetzt und neu aufsetzt
und was die Angreifer aktuell alles "durchwühlen" (können).

Spannend.

 

[arvan]

Hm, müsste dagegen nicht ne simple 2FA absichern?

2FA war ausgeschaltet:
https://www.computerbase.de/2024-01...er-griffen-wochenlang-auf-interne-e-mails-zu/
Siehe Link in News zu dem Beitrag aus Januar

 

[halbtuer2]

Klar, nachdem Linux bereits auf allen möglichen IoT-Geräten, Routern und vor allem auch Servern läuft, wird's erst mit ein paar zusätzlichen Desktop-PCs interessant für Hacker...

Deine Ironie kannst du dir schenken, auch wenn ich kein IT- Profi bin kenn ich schon den Verwendungszweck von Linux, und auch da wurden und werden sicherlich auch in Zukunft Schwachstellen vorhanden sein.
Linux kann kein Allheilmittel sein, und ganz nebenbei: für den Privatanwender sicherlich machbar, mit Linux am Laptop oder PC zu arbeiten, aber als bestes Beispiel: mein Laptop läuft unter WIndows 10 mit per Hand angepaßtem Energieprofil schön leise, kein Lüfter der plötzlich aufheult, alles schön einfach per Mausklick einstellbar.
Bei Linux ist mir das auch mit Internetrecherche und Kommandozeile nicht gelungen.

 

[pseudopseudonym]

und auch da wurden und werden sicherlich auch in Zukunft Schwachstellen vorhanden sein

Selbstverständlich, das bezweifle nicht. Auch Linux-Systeme müssen geupdatet werden, keine Frage.

Linux kann kein Allheilmittel sein

Wo liest du diese Aussage raus?

den Privatanwender sicherlich machbar, mit Linux am Laptop oder PC zu arbeiten, aber als bestes Beispiel: mein Laptop läuft unter WIndows 10 mit per Hand angepaßtem Energieprofil schön leise, kein Lüfter der plötzlich aufheult, alles schön einfach per Mausklick einstellbar.

Das hat doch alles überhaupt nichts mit meiner Aussage oder dem Thema zu tun.
Ich sage lediglich, dass Linux bereits ein attraktives Ziel ist, da die meisten Systeme im Internet bereits mit Linux laufen. Entweder als stille IoT-Systene, die perfekt für Botnetze sind, oder als Server mit jeder Menge Daten und auch Rechenleistung. Dagegen ist so ein kleiner Windows-Client totlangweilig.

 

[LeckerRK]

Die Cloud ist durch das Microsoft Account Passwort geschützt und Standort da kann man noch einen Handy Pin einführen ansonsten ist das ein Problem von Microsoft wie immer was die Sicherheit angeht die bräuchten nur die Admin Pässe für alle Mitarbeiter aktiv lassen und alle anderen Sperren.

 

[Unnu]

hoffentlich baut MS die Systeme sicherer neu auf und migrirt dann die Daten.

Ich liebe deinen Humor!

Ergänzung (10. März 2024)

bitte nur mit vernünftiger Verschlüsselung...

Ja, und? Was genau bringt mir das bei Daten die tagtäglich genutzt werden?
Die sind ja nur „at Rest“ verschlüsselt.

Zur Anwendung greift die Transportverschlüsselzng. Und habe ich die Daten im Zugriff ist nix verschlüsselt.

Obendrein habe ich ja meinen Schlüssel in der Cloud, sonst kann ja keiner Transparent zugreifen.

 

[Termy]

Und dann...dann würde Linux das Ziel sein, auch da tummeln sich Schwachstellen.

Der Angriff hier hat aber rein gar nichts mit (technischen) Schwachstellen zu tun, sondern mit völliger Ignoranz und/oder Inkompetenz auf der Organisations-/Procedures-Seite.

 

[Fire'fly]

Interessant.

Ich denke die Xbox Sparte war an bestimmten Stellen auch betroffen. Vor paar Tagen/Wochen ist immer mal wieder die Wunschliste geleert worden bzw. war gar nicht mehr nutzbar. 🤔

 

[Admiral_Awesome]

Die Situation rund um den Verlust des Source Codes stellt eine ernsthafte Bedrohung dar, vor allem in einer Zeit, in der intelligente Hacker aus Russland/China die Teilweise uns voraus sind mit wenig Aufwand erheblichen Schaden anrichten können.

Es ist eine unangenehme Wahrheit, dass diese Krise ein Spiegelbild unserer kollektiven Naivität in Bezug ist (Siehe unsere Wirtschaft).

Wir müssen uns eingestehen, dass ein zu sorgloser Umgang mit Sicherheitsmaßnahmen und eine Unterschätzung potenzieller Risiken uns anfällig macht. Dies merkt man anhand der Aktien von Microsoft die sich kaum verändert haben.

Jetzt ist der Moment, um aus der Vergangenheit zu lernen, kritisch zu hinterfragen und proaktiv zu handeln, damit wir besser vorbereitet und widerstandsfähiger gegenüber solchen Bedrohungen sind.

Linux Distros müsste pro aktiver vorangetrieben werden!!

Linux Distros ist eine Top Idee von dir. Aber wie mit allem was man betreibt, muss man es vorher beherrschen. Und daran scheitert es doch aktuell. Ich kenn mich mit Linux so gut aus, wie mit Pflanzenschutz. Überhaupt nicht.

 

[andy_m4]

Aber wie mit allem was man betreibt, muss man es vorher beherrschen. Und daran scheitert es doch aktuell. Ich kenn mich mit Linux so gut aus

Naja. Der User muss sich nicht wirklich anpassen, weil der arbeitet nicht mit Systemen, sondern mit Programmen. Und die Admins. Ja. Die müssen möglicherweise dazu lernen (ganz unbekannt dürfte Linux den meisten ja nicht mehr sein). Aber das ist dann halt so. IT war noch nie ein Fach, bei dem man sich jahrzehntelang auf einmal Gelerntes ausruhen konnte. :-)