• IT-Karriere:
  • Services:

Exchange-Hack: Microsoft-365-Migrationstool durch Textdatei ausgetauscht

Ein Golem.de-Leser wollte Exchange-Konten des Arbeitgebers auf Microsoft 365 migrieren. Statt des Hilfstools gab es eine Textdatei mit Nachricht.

Artikel von veröffentlicht am
Auch nach mehreren Tagen meldet sich der Microsoft-Support nicht.
Auch nach mehreren Tagen meldet sich der Microsoft-Support nicht. (Bild: Pixabay.com/Montage: Golem.de)

Viele Unternehmen sind vom Exchange-Hack durch Hafnium betroffen, der eine Lücke in Microsofts Exchange-Software ausgenutzt und viele E-Mail-Server auf der Welt unsicher gemacht hat. Einige Kunden wechseln daher möglichst zügig auf andere Dienste.

Stellenmarkt
  1. Friedrich Lange GmbH Fachgroßhandel für Sanitär und Heizung, Hamburg
  2. Prodatic-EDV-Konzepte GmbH, Wermelskirchen

So hatte sich auch ein deutsches Softwareunternehmen für den Wechsel von Exchange auf Microsoft 365 entschieden. Allein der Antrag auf ein Microsoft-365-Konto dauerte wohl 26 Stunden und erforderte mehrere Support-Anrufe. Außerdem stieß das zuständige Admin-Team auf ein weiteres Problem: Die Migrationsanwendung "Office 365 Hybrid Configuration Wizard hybridsetup.exe", die den Umzug der Postfächer in die Cloud vereinfachen soll, wurde von einer unbekannten Person durch eine Textdatei ersetzt.

Entdeckt hat das Golem.de-Leser J. A. Richter, der uns mit Screenshots und Details zu der sonderbaren Situation versorgt hat. Er hatte sich darüber gewundert, warum die heruntergeladene Anwendung nur 1 KByte groß ist. Daher änderte er die Dateiendung kurzerhand um und öffnete sie mit einem Texteditor.

Darin fand er eine Nachricht: "Wenn Microsoft sich um Sicherheit scheren würde, hätten sie niemals ihre eigenen Binaries in Servicezonen veröffentlicht, zu denen Kunden Zugang haben. Zumindest nicht, nachdem sich welcher Produktmangager auch immer entschieden hat, den Distributionsort der Datei zu ändern, anschließend den eigenen Blob-Storage-Account zu löschen und die Datei somit allen öffentlich zur Verfügung zu stellen.", schreibt der unbekannte Account in der Datei.

  • Migration sollte im Admin Center einfach sein... (Bild: J. A. Richter)
  • ...Mithilfe eines Microsoft-365-Migrationstools. (Bild: J. A. Richter)
  • Die Software wird im Blob Storage heruntergeladen. (Bild: J. A. Richter)
  • Sie ist aber nur 1 KByte groß... (Bild: J. A. Richter)
  • ...und enthält die Nachricht eines anscheinend wütenden Menschen. (Bild: J. A. Richter)
Migration sollte im Admin Center einfach sein... (Bild: J. A. Richter)

Cloud-Speicher offen zugänglich

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Es scheint, als habe die Person einen zuvor gelöschten aber über das Admin-Center noch immer verlinkten Blob-Storage-Account gefunden, diesen neu registriert und dort die gleichnamige Textdatei hinterlegt. Das klingt nach einem Subdomain-Takeover, wie er bei Microsoft schon öfters vorgekommen ist.

Die Person hat offensichtlich auch ein Support-Ticket an Microsoft geschickt, welches am 4. März eingereicht und offenbar Tage später nicht komplett bearbeitet wurde. Ansonsten hätte Richter wohl die Textdatei nicht gefunden.

Microsoft 365 Family | 6 Nutzer | Mehrere PCs/Macs, Tablets und mobile Geräte | 1 Jahresabonnement | Download Code

Den Hybrid Configuration Wizard wollte der Admin über das Microsoft-365-Admin-Center herunterladen. Dort gibt es einen Direktlink für Exchange-Kunden, die auf Microsoft 365 wechseln möchten. Auf die Exe-Datei wartet er noch immer.

Richter blieb nur noch die Möglichkeit, den Microsoft-Support zu kontaktieren - schließlich musste der eigene geschäftliche E-Mail-Dienst per Exchange aus Sicherheitsgründen komplett offline genommen werden. Über die herkömmliche Support-Hotline hat der Admin bisher keine sinnvolle Antwort bekommen.

Microsoft will das Problem als Technik-Issue behandeln. Richters Hinweise darauf, dass ein so offener Account andere Dateien beeinflussen könnte, quittierte der Microsoft-Support mit der Aussage, dass sich dies ein Technikerteam anschauen werde.

Nachtrag vom 11. März 2021, 13:10 Uhr

Wir haben den Text angepasst, da wir annehmen, dass es sich hier um ein Subdomain-Takeover handelt. Das sollte jetzt klarer sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Planet Zoo - Deluxe Edition für 19,49€, SnowRunner - Epic Games Store Key für 26,99€)
  2. (u. a. LG OLED77CX6LA 77 Zoll OLED für 2.899€, LG 43UP75009LF 43 Zoll LCD für 399€)
  3. (u. a. Mad Games Tycoon für 6,50€, Transport Fever 2 für 21€, Shadow Tactics: Blades of the...
  4. 759€ (Bestpreis)

Captain Caracho 12. Mär 2021 / Themenstart

Ich habs jetzt dreimal gelesen, um sicher zu gehen, ob wir wirlich von der gleichen...

bike4energy 11. Mär 2021 / Themenstart

Traurig, dass die EU nicht in der Lage ist einen soliden opensource mailserver auf die...

Xeroxxx 10. Mär 2021 / Themenstart

Bei AWS übrigens genauso. Allerdings passiert es auch gerne das Blobstorages oder S3...

FreiGeistler 10. Mär 2021 / Themenstart

Hattest du dein Fläschchen noch nicht oder was ist los?

Megusta 10. Mär 2021 / Themenstart

Das hab ich mir auch gedacht, ist ja wie die alte Betrugsmasche mit den "Antivirus", den...

Kommentieren


Folgen Sie uns
       


Razer Kyio Pro Webcam - Test

Webcams müssen keine miese Bildqualität haben, wie Razers Kyio Pro in unserem Test beweist.

Razer Kyio Pro Webcam - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /