Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

MFA war inaktiv: Microsoft deckt auf, wie Hacker an interne Mails kamen

Die Angreifer haben laut Microsoft zuerst einen Testaccount mit inaktiver MFA infiltriert - unter Einsatz einer Proxy-Infrastruktur.
/ Marc Stöckel
3 Kommentare News folgen (öffnet im neuen Fenster)
Microsoft teilt weitere Details zum jüngsten Cyberangriff auf seine internen Systeme (Bild: SAUL LOEB/AFP via Getty Images)
Microsoft teilt weitere Details zum jüngsten Cyberangriff auf seine internen Systeme Bild: SAUL LOEB/AFP via Getty Images

Nachdem Microsoft erst vor wenigen Tagen erklärte , Ziel eines Cyberangriffs von der russischen Hackergruppe Midnight Blizzard geworden zu sein, hat der Konzern gestern in einem Blogbeitrag(öffnet im neuen Fenster) weitere Informationen zu dem Vorfall geteilt. Der Angriff hatte zur Folge, dass die Angreifer auf E-Mail-Konten mehrerer Führungskräfte und Mitarbeiter von Microsoft zugreifen und daraus Daten exfiltrieren konnten.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Java-Softwareentwickler/-innen (m/w/d) Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln (öffnet im neuen Fenster)
IT-Administratorin / IT-Administrator (m/w/d) Bundesanstalt für Straßen- und Verkehrswesen (BASt), Bergisch Gladbach (öffnet im neuen Fenster)
Kundenberatung 1st-Level-Support (w/m/d) Buchner & Partner GmbH, Kiel (öffnet im neuen Fenster)
Netzwerkadministrator (m/w/d) IT-OT EnviTec Biogas AG, Güstrow (öffnet im neuen Fenster)
IT Systemingenieur (m/w/d) Schwerpunkt: Applikationsbetrieb Containertechnologien gkv informatik, Rostock,Poppendorf,Roggentin (öffnet im neuen Fenster)
Stellvertretende:r Leiter:in für das Projekt SAP S4/HANA (w/m/d) Berliner Wasserbetriebe, Berlin (öffnet im neuen Fenster)
Senior Backend Entwickler TYPO3 (m/w/d) DMK E-BUSINESS GmbH, Chemnitz (öffnet im neuen Fenster)
Tester:in Buchhaltungssoftware (d/m/w) Haufe Group, Freiburg (öffnet im neuen Fenster)

In dem neuen Blogbeitrag bestätigte das Unternehmen ganz offen, dass die Multifaktor-Authentifizierung (MFA) des Test-Tenant-Kontos, über das Midnight Blizzard der Erstzugriff gelang, nicht aktiviert war. Die Kompromittierung gelang den Angaben zufolge durch einen Passwort-Spray-Angriff.

Bei dieser Angriffstechnik versuchten Angreifer, sich "mit einer kleinen Teilmenge der beliebtesten oder wahrscheinlichsten Passwörter" bei mehreren Konten anzumelden, erklärte der Konzern - und gestand damit indirekt ein, das gekaperte Testkonto mit einem unsicheren Passwort geschützt zu haben.

Angriffe erfolgten wohl über einen langen Zeitraum

Weiter erklärte Microsoft, Midnight Blizzard habe die Passwort-Spray-Attacke gezielt auf eine begrenzte Anzahl von Zielkonten sowie eine geringe Menge an Anmeldeversuchen beschränkt, um einer Entdeckung zu entgehen und Kontosperrungen aufgrund zu vieler Fehlversuche zu vermeiden. Zusätzlich hätten die Angreifer eine Proxy-Infrastruktur verwendet, um ihre Aktivitäten zu verschleiern und über einen langen Zeitraum aufrechtzuerhalten, bis sie schließlich Erfolg hatten.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Nach erfolgreichem Zugriff auf das Testkonto kompromittierte Midnight Blizzard den Angaben zufolge eine alte OAuth-Testanwendung, die mit erweiterten Zugriffsrechten auf die Microsoft-Unternehmensumgebung ausgestattet war. Diese Anwendung habe es den Angreifern schließlich erlaubt, sich unter Einsatz eigener OAuth-Anwendungen sowie eines neu erstellten Nutzerkontos Zugriff auf die Postfächer des Microsoft-Personals zu verschaffen, erklärt der Konzern.

Auch andere Organisationen sollen betroffen sein

Auf Grundlage der Untersuchungen habe man außerdem festgestellt, dass Midnight Blizzard auch andere Organisationen ins Visier genommen habe, hieß es weiter. Konkret benannt wurden diese nicht, jedoch bestätigte der IT-Konzern HPE kürzlich einen vergleichbaren Cyberangriff , bei dem dieselbe Hackergruppe auf interne E-Mail-Postfächer von Mitarbeitern zugreifen konnte - in einer Office-365-Umgebung.

Weiterführende Informationen darüber, wie sich derartige Angriffe erkennen und abwehren lassen, stellte Microsoft in seinem Blogbeitrag zur Verfügung(öffnet im neuen Fenster) .

Zur Startseite 3 Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecurityCybercrime2-FAMicrosoft 365PasswortHackerE-Mail