Nach Microsoft-Fiasko müssen US-Behörden groß aufräumen
Viel Arbeit haben IT-Admins ziviler US-Behörden. Es geht um Schadensbegrenzung nach dem russischen Einbruch bei Microsoft. Dieser läuft weiter.
(Bild: heise online)
Der Notbefehl ED 24-02 der Cybersecurity and Infrastructure Security Agency (CISA) macht den IT-Abteilungen ziviler US-Bundesbehörden Beine. Sie müssen umfangreich Daten sichten, Login- und Authentifizierungsdaten erneuern und bestimmte Software deinstallieren. Grund ist das Sicherheits-Fiasko bei Microsoft, das auch Kunden betrifft, wie eben die US-Behörden. Zwischen den Zeilen des Rundschreibens ist zu erkennen, dass die möglichen Folgewirkungen enorm sind. Microsoft gelingt es offenbar seit Monaten nicht, die angeblich russischen Angreifer aus den eigenen Netzen herauszuwerfen.
Bereits letztes Jahr hatte Microsoft einen riesigen Sicherheitsvorfall, als vermutlich chinesische Angreifer eine Art Generalschlüssel für weite Teile der Microsoft Cloud erbeuteten. Diesen Vorfall watschte erst kürzlich das vom besorgten Departement of Homeland Security eingesetzte Cyber Safety Review Board (CSRB) als eine "Kaskade vermeidbarer Fehler" ab und forderte eine grundlegende Neuorientierung Microsofts im Hinblick auf Sicherheit. Im Januar 2024 musste Microsoft einen weiteren gravierenden Sicherheitsvorfall eingestehen: Andere Angreifer – diesmal wohl russische mit dem Label Midnight Blizzard – lasen die E-Mails von Microsofts eigener Chefetage und Sicherheitsabteilung mit.
Zwei Monate später musste Microsoft dann zugeben, dass es ihnen nicht gelingt, die Aktivitäten von Midnight Blizzard im eigenen Netz unter Kontrolle zu bekommen – im Gegenteil: Diese hätten sich mittlerweile verzehnfacht. Jetzt werden erneut US-Sicherheitsbehörden aktiv. Denn mit den ausspionierten Microsoft-Mitarbeitern haben sich offenbar zahlreiche US-Behörden ausgetauscht – und dabei gerieten die Angreifer in den Besitz sensibler Informationen über US-Behörden und deren IT.
Klar, gemeinsame Aufgabe ist ja die Abwehr von IT-Angriffen. Wer diese Kommunikation lesen kann, erfährt nicht-öffentliche Details zu Vorkehrungen und Schwachstellen in behördlicher IT. Auch Zugangsdaten und Ähnliches waren offenbar in den E-Mails enthalten. Das erleichtert Angriffe auf diese erheblich, ist also ein Jackpot für IT-Spione. Gemäß der Emergency Directive 24-02 der CISA müssen US-Behörden nun die gesamte Korrespondenz mit allen ausgekundschafteten Microsoft-Gegenstellen überprüfen. Was könnten sie den Russen dabei verraten haben? Und welche Auswirkungen hat das auf die IT-Sicherheit? Im Fachsprech heißt das cybersecurity impact analysis.
Software ausmustern
Microsoft hat Unterstützung in Form von Korrespondenz-Metadaten zugesagt. Erhält eine Behörde solche Metadaten von Microsoft, oder findet sie bei der eigenen Suche in der Korrespondenz Anlass zur Sorge, muss sie rasch zur Tat schreiten: "Räumen Sie Tokens, Passwörter, API-Schlüssel oder andere Authentifizierungs-Daten auf, von denen Sie wissen oder vermuten, dass sie kompromittiert worden sind", ordnet CISA an. Und: "Überprüfen Sie die Logs für Anmeldungen, Token-Ausgaben und andere Kontoaktivitäten auf bösartige Vorgänge". Das betrifft Nutzer und Diensten, deren Zugangsdaten kompromittiert worden sein könnten.
(Bild: Wiz Resarch)
Bei der Gelegenheit sollen auch alle Anwendungen deaktiviert werden, die die Behörde nicht mehr braucht. Das ist generell eine hervorragende Idee; nur stellt sich manchmal erst im Nachhinein heraus, dass doch irgendwer in irgendeiner Abteilung irgendein obskures Programm noch verwenden wollte. Daher laufen nicht selten obsolete Dienste jahrelang ungepflegt weiter, zur Freude potenzieller Angreifer. Also jetzt bitte weg damit.
Schnell soll es gehen, jedenfalls im Behördenmaßstab. Ende April sollen alle Arbeiten abgeschlossen sein, am 1. Mai ist der CISA Bericht zu erstatten. Welche zivilen US-Bundesbehörden konkret betroffen sind, verrät das veröffentlichte Dokument vom 2. April nicht. Es dürften viele sein, sonst hätte die CISA individuelle Maßnahmen mit den betroffenen Stellen abklären können.
Angriffe laufen weiter
Unterdessen gibt es immer noch keine Vollzugsmeldung von Microsoft; man muss also davon ausgehen, dass Midnight Blizzard weiterhin in den internen Microsoft-Netzen aktiv ist. An Futter dafür dürfte es ihnen nicht fehlen. Erst dieser Tage wurde bekannt, dass über eine Million Dateien mit Passwörten und anderen Zugangsdaten zu internen Microsoft-Diensten öffentlich zugänglich waren. Die vom CSRB angemahnte Neuorientierung in Hinblick auf IT-Security bei Microsoft wäre dringender denn je.
Die ursprüngliche Version dieses Artikels brachte zwei Angriffe auf Microsofts Infrastruktur durcheinander: den Diebstahl des Master-Keys zur Microsoft-Cloud und die aktuelle Spionage-Kampagne durch vermutlich russische Angreifer. Wir haben den Text deshalb dahin gehend überarbeitet und die beiden Sachverhalte korrekt auseinandergedröselt. Wir bitten für die anfänglich fehlerhafte Darstellung um Entschuldigung (ju).
(ds)
