Signal-Briefing / Asien-Pazifik-Cloud-Service-Trends

Microsoft: Lasche Sicherheit führte zu Cyberangriff aus China

Eine Untersuchung eines Angriffs auf den gehosteten E-Mail-Dienst Exchange Online von Microsoft ergab, dass der Vorfall hätte vermieden werden können.

Microsoft: Lasche Sicherheit führte zu Cyberangriff aus China
KategorieAsien-Pazifik-Cloud-Service-Trends

Microsoft: Lasche Sicherheit führte zu Cyberangriff aus China wird als Internet-Infrastruktur-Institution innerhalb des Internet-Infrastruktur-Ökosystems verfolgt.

RegionAsien-Pazifik
SignalfokusMarkt
InhaltstypVeranstaltung
Primäre DomainMarkt
ThemaMarkt
AuswirkungenMittel
KonfidenzBegrenzte Konfidenz (76%)

Mehrere öffentliche Quellen

Microsoft gibt an, dass lasche Sicherheit zu Chinas Cyber-Razzia führte, wird von BTW Media profiliert, weil veröffentlichte Beweise es mit Internet-Infrastruktur, Governance, betrieblichen Abhängigkeiten oder Marktsichtbarkeit verbinden.

  • Eine Überprüfung des Angriffs auf den gehosteten E-Mail-Dienst Exchange Online von Microsoft ergab, dass der Vorfall hätte vermieden werden können, ebenso wie Microsofts lasche Informationssicherheitskultur.
  • Microsoft wurde für seine langsamen Bemühungen, die öffentliche Aufzeichnung zu korrigieren, kritisiert.
  • Microsoft scheint der Neugestaltung seiner veralteten Infrastruktur nicht genügend Priorität eingeräumt zu haben, um der aktuellen Bedrohungslandschaft zu begegnen.

Cyberangriffe können verhindert werden

Eine Überprüfung des Angriffs vom Juni 2023 auf den gehosteten E-Mail-Dienst Exchange Online von Microsoft ergab, dass der Vorfall hätte vermieden werden können, wenn nicht Microsofts lasche Informationssicherheitskultur und mangelhafte Cloud-Sicherheitsvorkehrungen gewesen wären.

Die Überprüfung, durchgeführt vom Cybersecurity Review Board (CSRB) der Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung, forderte einen „schnellen kulturellen Wandel“ bei Microsoft. Zu den Empfehlungen des Gremiums gehören:

Die Kunden von Microsoft profitieren davon, wenn sich sein CEO und sein Vorstand direkt auf die Sicherheitskultur konzentrieren und Pläne mit konkreten Fristen entwickeln und öffentlich teilen, um grundlegende sicherheitsorientierte Änderungen im gesamten Geschäft und Produktportfolio vorzunehmen;

Der CEO muss die leitenden Angestellten für die Umsetzung des Programms zur Rechenschaft ziehen;

Die Führung von Microsoft sollte in Betracht ziehen, die internen Teams anzuweisen, die Priorität der Funktionsentwicklung für die Cloud-Infrastruktur und die Produktpalette zu senken, bis wesentliche Sicherheitsverbesserungen vorgenommen wurden, um den Wettbewerb um Ressourcen zu beseitigen;

Sicherheitsrisiken müssen umfassend und angemessen bewertet und behandelt werden, bevor neue Funktionen implementiert werden.

Die starken Worte kamen als Reaktion auf den Angriff, der auf eine „Litanei vermeidbarer Fehler seitens Microsoft“ zurückgeführt wurde.

Lesen Sie auch:Microsoft und Epic reduzieren Investitionen in unabhängige Spiele

Die Schuld für den Angriff

Der Bericht des CSRB [PDF] machte für den Angriff die Schlüsselrotationspraktiken verantwortlich, die zum Schutz der Microsoft Service Accounts (MSA) verwendet werden, des Identitätsmanagementsystems, das die Cloud-Dienste des Softwareriesen für Verbraucher betreibt.

MSA wurde Anfang der 2000er Jahre ohne automatische Rotation oder Deaktivierung von Signaturschlüsseln entwickelt. Infolgedessen verwaltete Microsoft die Schlüssel manuell, stellte dies jedoch 2021 ein, nachdem die Praxis zu erheblichen Cloud-Ausfällen geführt hatte.

Als Storm-0558 einen 2016 erstellten Schlüssel erlangte (der hätte deaktiviert werden sollen), erhielt es die Möglichkeit, auf die für Verbraucher bereitgestellte Version von Outlook Web Access zuzugreifen. Von da an eskalierten die Dinge, da ein Systemfehler bei Microsoft dazu führte, dass der MSA-Schlüssel von 2016 Token erstellen konnte, die den Zugriff auf Unternehmens-E-Mail-Konten ermöglichten, nicht nur auf Verbraucherdienste, die von der MSA-Erstellung verwaltet werden. Infolgedessen konnte Storm-0558 Token erstellen, die Zugang zu Microsoft-Kunden wie dem US-Außenministerium gewährten.

Die Gruppe tat genau dies und stahl etwa 60.000 E-Mails des Ministeriums sowie eine Liste der E-Mail-Adressen aller Mitarbeiter.

Der Bericht stellt fest, dass andere Cloud-Anbieter besser in der Schlüsselrotation und der Implementierung anderer Sicherheitskontrollen sind, Microsoft jedoch nicht. Infolgedessen kritisiert der Bericht Microsoft dafür, dass es das Leck seiner Schlüssel nicht erkennen konnte.

Microsoft wurde auch für seine langsamen Bemühungen kritisiert, die öffentliche Darstellung zu korrigieren. Redmond behauptete, der Angriff sei möglich gewesen, weil ein Master-Verschlüsselungsschlüssel in einem Absturzabbild vorhanden war, das in eine mit dem Internet verbundene Debugging-Umgebung übertragen wurde. Microsoft hat diese Theorie jedoch nie bewiesen.

Geringschätzung des Sicherheitsrisikomanagements

Ein weiteres Thema des Berichts ist, dass Microsoft „das Sicherheitsrisikomanagement nicht auf ein Niveau hebt, das der Bedrohung oder der kritischen Bedeutung der Microsoft-Technologie für seine mehr als 1 Milliarde Kunden weltweit entspricht“.

Die Forscher betrachteten die Multi-Cloud-Konkurrenten von Microsoft und fanden sie vorsichtiger als den Windows-Riesen. „Microsoft hat der Neugestaltung seiner veralteten Infrastruktur nicht ausreichend Priorität eingeräumt, um der aktuellen Bedrohungslandschaft zu begegnen“, stellten die Autoren fest.

Signalbericht

  • Signal: Microsoft: Lasche Sicherheit führte zu Cyberangriff aus China
  • Region: Asien-Pazifik
  • Marktklasse: Asien-Pazifik-Cloud-Service-Trends

Betriebspräsenz

  • Veröffentlichte Quellen sollten die betroffenen Parteien, den Betriebsfußabdruck und die Marktexposition identifizieren, bevor diese Trendkarte als vollständig betrachtet wird.

Marktkontext

  • Operative Relevanz: Mittel
  • Zeithorizont: Nächstes Quartal

Was ansehen?

  • Achten Sie auf offizielle Stellungnahmen, regulatorische Aktualisierungen, Gefährdung von Kunden oder Partnern sowie ergänzende Offenlegungen.

Mitgliederbriefing

Vertiefter Trendkontext

Melden Sie sich mit der richtigen Mitgliedschaftsstufe an, um das vollständige Briefing und die Quellennotizen freizuschalten.

Nur für Strategic Circle

Strategic Circle

Offen für alle Leser. Schalten Sie Trend-Briefings nach Beitritt und Anmeldung frei.

Strategic Circle beitreten

Nur für Leadership Alliance

Leadership Alliance

Für Betreiber, Investoren und Politikteams, die Belege für Beziehungen, Fehlerpfade und Quellennotizen benötigen. Melden Sie sich an, um freizuschalten.

Leadership Alliance beitreten
ZurückMehr Berichterstattung: Asien-Pazifik-Cloud-Service-Trends