Exchange-Hack: Microsoft-365-Migrationstool durch Textdatei ausgetauscht

Ein Golem.de-Leser wollte Exchange-Konten des Arbeitgebers auf Microsoft 365 migrieren. Statt des Hilfstools gab es eine Textdatei mit Nachricht.

Artikel von veröffentlicht am
Auch nach mehreren Tagen meldet sich der Microsoft-Support nicht.
Auch nach mehreren Tagen meldet sich der Microsoft-Support nicht. (Bild: Pixabay.com/Montage: Golem.de)

Viele Unternehmen sind vom Exchange-Hack durch Hafnium betroffen, der eine Lücke in Microsofts Exchange-Software ausgenutzt und viele E-Mail-Server auf der Welt unsicher gemacht hat. Einige Kunden wechseln daher möglichst zügig auf andere Dienste.

Stellenmarkt
  1. ERP Prozessmanager (m/w/d)
    UTT Technische Textilien GmbH & Co KG über Rainer Gerke PersonalManagement, Krumbach
  2. Senior Finance Consultant Microsoft Dynamics 365 (m/w/d)
    HSO Enterprise Solutions GmbH, Böblingen
Detailsuche

So hatte sich auch ein deutsches Softwareunternehmen für den Wechsel von Exchange auf Microsoft 365 entschieden. Allein der Antrag auf ein Microsoft-365-Konto dauerte wohl 26 Stunden und erforderte mehrere Support-Anrufe. Außerdem stieß das zuständige Admin-Team auf ein weiteres Problem: Die Migrationsanwendung "Office 365 Hybrid Configuration Wizard hybridsetup.exe", die den Umzug der Postfächer in die Cloud vereinfachen soll, wurde von einer unbekannten Person durch eine Textdatei ersetzt.

Entdeckt hat das Golem.de-Leser J. A. Richter, der uns mit Screenshots und Details zu der sonderbaren Situation versorgt hat. Er hatte sich darüber gewundert, warum die heruntergeladene Anwendung nur 1 KByte groß ist. Daher änderte er die Dateiendung kurzerhand um und öffnete sie mit einem Texteditor.

Darin fand er eine Nachricht: "Wenn Microsoft sich um Sicherheit scheren würde, hätten sie niemals ihre eigenen Binaries in Servicezonen veröffentlicht, zu denen Kunden Zugang haben. Zumindest nicht, nachdem sich welcher Produktmangager auch immer entschieden hat, den Distributionsort der Datei zu ändern, anschließend den eigenen Blob-Storage-Account zu löschen und die Datei somit allen öffentlich zur Verfügung zu stellen.", schreibt der unbekannte Account in der Datei.

  • Migration sollte im Admin Center einfach sein... (Bild: J. A. Richter)
  • ...Mithilfe eines Microsoft-365-Migrationstools. (Bild: J. A. Richter)
  • Die Software wird im Blob Storage heruntergeladen. (Bild: J. A. Richter)
  • Sie ist aber nur 1 KByte groß... (Bild: J. A. Richter)
  • ...und enthält die Nachricht eines anscheinend wütenden Menschen. (Bild: J. A. Richter)
Migration sollte im Admin Center einfach sein... (Bild: J. A. Richter)

Cloud-Speicher offen zugänglich

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Es scheint, als habe die Person einen zuvor gelöschten aber über das Admin-Center noch immer verlinkten Blob-Storage-Account gefunden, diesen neu registriert und dort die gleichnamige Textdatei hinterlegt. Das klingt nach einem Subdomain-Takeover, wie er bei Microsoft schon öfters vorgekommen ist.

Die Person hat offensichtlich auch ein Support-Ticket an Microsoft geschickt, welches am 4. März eingereicht und offenbar Tage später nicht komplett bearbeitet wurde. Ansonsten hätte Richter wohl die Textdatei nicht gefunden.

Microsoft 365 Family | 6 Nutzer | Mehrere PCs/Macs, Tablets und mobile Geräte | 1 Jahresabonnement | Download Code

Den Hybrid Configuration Wizard wollte der Admin über das Microsoft-365-Admin-Center herunterladen. Dort gibt es einen Direktlink für Exchange-Kunden, die auf Microsoft 365 wechseln möchten. Auf die Exe-Datei wartet er noch immer.

Richter blieb nur noch die Möglichkeit, den Microsoft-Support zu kontaktieren - schließlich musste der eigene geschäftliche E-Mail-Dienst per Exchange aus Sicherheitsgründen komplett offline genommen werden. Über die herkömmliche Support-Hotline hat der Admin bisher keine sinnvolle Antwort bekommen.

Microsoft will das Problem als Technik-Issue behandeln. Richters Hinweise darauf, dass ein so offener Account andere Dateien beeinflussen könnte, quittierte der Microsoft-Support mit der Aussage, dass sich dies ein Technikerteam anschauen werde.

Nachtrag vom 11. März 2021, 13:10 Uhr

Wir haben den Text angepasst, da wir annehmen, dass es sich hier um ein Subdomain-Takeover handelt. Das sollte jetzt klarer sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Captain Caracho 12. Mär 2021

Ich habs jetzt dreimal gelesen, um sicher zu gehen, ob wir wirlich von der gleichen...

bike4energy 11. Mär 2021

Traurig, dass die EU nicht in der Lage ist einen soliden opensource mailserver auf die...

Xeroxxx 10. Mär 2021

Bei AWS übrigens genauso. Allerdings passiert es auch gerne das Blobstorages oder S3...

FreiGeistler 10. Mär 2021

Hattest du dein Fläschchen noch nicht oder was ist los?

Megusta 10. Mär 2021

Das hab ich mir auch gedacht, ist ja wie die alte Betrugsmasche mit den "Antivirus", den...



Aktuell auf der Startseite von Golem.de
Spielfilm
Matrix trifft Unreal Engine 5

Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Spielfilm: Matrix trifft Unreal Engine 5
Artikel
  1. Cyberbunker-Verfahren: Ein Bunker voller Honig
    Cyberbunker-Verfahren
    Ein Bunker voller Honig

    Das Verfahren gegen die Cyberbunker-Betreiber hat sich für die Staatsanwaltschaft gelohnt - egal, wie das Urteil ausfällt. So leicht kommt sie wohl nie wieder an Daten illegaler Marktplätze.
    Eine Analyse von Friedhelm Greis

  2. Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
    Softwarepatent
    Uraltpatent könnte Microsoft Millionen kosten

    Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
    Ein Bericht von Stefan Krempl

  3. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Dualsense + Destruction All Stars 62,99€ • Alternate (u. a. Corsair 750W-Netzteil 79,90€) [Werbung]
    •  /