Es ist ein Albtraum für jede Firma: Hacker verschaffen sich Zugriff auf die internen Nachrichten, können über Monate auch die geheimste Kommunikation der Führungsebene mitlesen. Für Microsoft war der Schock noch größer, als Mitte Januar entdeckt wurde, dass genau das passiert war. Für den Angriff war ein Patzer beim Einrichten der eigenen Software genutzt worden.
Das berichtet der Konzern in einem Blopost von Freitag. Demnach ist die Untersuchung des Hacks noch nicht vollständig abgeschlossen, trotzdem sei man sich über zwei wichtige Details bereits im Klaren: Der Hack ging von einer berüchtigten Hackergruppe aus, die dem russischen Auslandsgeheimdienst SWR zugeordnet wird. Und er gelang wegen eines ziemlich dramatischen Fehlers.
Dramatischer Patzer
Zugang bekamen die Angreifer dem Bericht zufolge über eine "Password Spraying" genannte Technik. Dabei probiert man einfach Passwörter aus, die besonders beliebt sind – bis eines funktioniert. Bei Microsoft gelang es den Angreifern so, in einen alten Testaccount zu gelangen, der eigentlich nicht mehr genutzt wird. Und der sich für die Hacker als eine wahre Goldader erwies.
Denn wie Microsoft selbst beschreibt, konnten die Hacker über diesen einfachen Test-Account plötzlich Vollzugriff auf die internen Mail-Accounts des Unternehmens erlangen. Das sollte eigentlich nicht möglich sein, wie der Sicherheits-Experte Kevin Beaumont am Wochenende bei Mastodon erklärte. "Was in dem Post nicht steht: Um alle Mailkonten lesen zu können (wie es hier passiert ist), muss man Tenant Administrator sein", erklärt er. Weil die Angreifer laut Microsoft aber keine Sicherheitslücken nutzten, ließe das nur einen Schluss zu: Der Testaccount konnte das bereits von selbst.
Das bedeutet allerdings einen sehr dramatischen Patzer auf der Seite des Software-Giganten. Ein x-beliebiger Test-Account wurde mit Rechten ausgestattet, mit denen man Zugriffe auf das ganze Netzwerk hat. "Ohne Sicherheit, Mehrfaktor-Authentifizierung, Firewalls, Überwachung oder ähnliches", gibt sich der Experte geschockt. Trotzdem lobt er Microsoft explizit für seine Offenheit über den Hack.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Alte Bekannte
Dass die Angreifer das Potenzial dieses Geschenks schnell erkannten, verwundert nicht. Schon bei der ersten Veröffentlichung legte sich Microsoft fest, dass hinter der Attacke niemand anderes als Midnight Blizzard steckt. Die auch unter den Namen APT29, Cozy Bear und Nobelium bekannte Truppe hängt direkt mit dem russischen Geheimdienst SWR zusammen, gilt als eine der versiertesten Hackergruppen der Welt. Ihr werden etwa erfolgreiche Attacken auf das Pentagon, aber auch der für den Ausgang der US-Wahl 2016 folgenreiche Hack der Demokratischen Partei zugeschrieben.
Dass Microsoft sich bei der Zuschreibung des Hacks so sicher ist, beruhe auf der eigenen Erfahrung mit Midnight Blizzard, schreibt der Konzern. Die Gruppe ist bekannt dafür, ihre Kampagnen besonders akribisch zu tarnen. So kommen die Attacken in der Regel über weitere gekaperte Accounts, die in der Vorarbeit bei eigentlich vertrauenswürdigen Zielen übernommen werden. Auf diese Weise kommen die Anfragen von bekannten Adressen, wirken legitim. Und lösen keine automatischen Prüfungen aus. So war die Gruppe auch 2020 vorgegangen, als sie einen Hack des Infrastruktur-Anbieters Solarwinds nutzte, um unzählige weitere Firmen attackieren zu können (Hier erfahren Sie mehr zum Vorgehen – und was Donald Trump damit zu tun hatte).
Nicht nur Microsoft betroffen
Welche Daten genau die Hacker in den knapp zwei Monaten bis zu ihrer Entdeckung abgreifen konnten, verrät Microsoft bislang nicht. Der Konzern versichert aber, dass bei der russischen Spionage-Aktion im Konzern keine Daten von Kunden gestohlen wurden, seien es private oder die der zahlreichen Firmenkunden.
Das heißt aber nicht, dass sich alle Microsoft-Kunden sicher fühlen dürfen: Parallel zum eigenen Angriff habe man auch mehrere Attacken auf Kunden entdeckt, würde diese nun informieren, schreibt der Konzern. Konkret genannt wird der von Computer-Hersteller HP abgespaltene Unternehmensdienstleiser Hewlett Packard Enterprises (HPE). Obwohl dieser Angriff schon im Mai passiert war, wurde er demnach erst im Dezember entdeckt.
