Sicherheitslücke in Microsoft-Azure: Das sollten Unternehmen tun

In den vergangenen Jahren gab es bereits mehrfach gravierende Sicherheitslücken in Microsoft Azure. Gleichzeitig waren europäische Microsoft-Kunden wiederholt mit Kostensteigerungen für Abos und Cloud-Dienste konfrontiert. Doch jetzt kam es zum Super-GAU: Chinesische Hacker stahlen den Master-Key der Microsoft-Cloud. Auch Dienste wie Outlook und Exchange waren davon betroffen. Indes verhielt sich Microsoft beim Krisenmanagement alles andere als vorbildlich. All das zeigt einmal mehr, dass sich Unternehmen nicht von Cloud-Giganten abhängig machen und auf deren Sicherheitsarchitekturen vertrauen sollten. Stattdessen empfiehlt es sich, wieder stärker auf einen Mix aus On-Premises-Lizenzen und Cloud-Infrastrukturen verschiedener Anbieter zu setzen.

Gravierende Patzer in puncto Kundensicherheit sind in der Microsoft-Cloud kein Neuland. 2021 sorgte beispielsweise der „OMIGOD“-Vorfall für Aufsehen: Eine Schwachstelle in einem Agenten, den Microsoft ungefragt installiert hatte, erlaubte vollen Zugriff auf Azure-Server. Angreifer hatten so die Möglichkeit, mit Root-Rechten beliebigen Schadcode auszuführen. Da die Administratoren auf Kundenseite gar nichts von der kompromittierten Komponente wussten, tappten sie im Dunkeln. Microsoft reagierte indessen halbherzig und schob die Problemlösung zum Teil den Unternehmen zu. Weil die nötigen Security-Uptdates nicht automatisch beim Patch-Day eingespielt wurden, mussten Admins diese selbst installieren.

Mit ExtraReplica folgte im Januar 2022 die nächste Azure-Sicherheitslücke. Die Security-Experten von Wiz fanden heraus, dass Angreifer über eine Schwachstelle im Azure Database for PostgreSQL Flexible Server ohne Autorisierung kontenübergreifend auf Datenbanken zuzugreifen konnten. Sensible Daten von zehntausenden Kunden waren durch eine Fehlkonfiguration auf einem Endpunkt exponiert (BlueBleed). Microsoft bestätigte am 19.10.2022, dass 65.000 Unternehmen in 111 Ländern betroffen waren. 2023 ging es dann munter weiter mit BingBang, einer Sicherheitslücke im Azure Active Directory (ADD). Eine Fehlkonfiguration in einer „Bing Trivia“ App erlaubte es, den Inhalt auf Bing.com zu manipulieren. So hätten Cyberkriminelle zum Beispiel einen Cross-Site-Scripting Angriff durchführen können, um auf die Microsoft-365-Konten von Millionen von Kunden zuzugreifen.

Das wissen wir über die jüngste Azure-Schwachstelle

Die IT-Security-Experten von Tenable informierten Microsoft bereits am 30. März 2023 darüber, dass sie eine kritische Schwachstelle im zentralen Authentifizierungssystem der Microsoft Power Plattform entdeckt hatten. Im Juni verzeichnete dann eine US-Behörde ungewöhnliche Aktivitäten in ihren Exchange-Konten. Microsoft reagierte nur zögerlich, obwohl man zu diesem Zeitpunkt schon davon ausgehen konnte, dass es sich um ein massives Sicherheitsproblem handelte. Erst am 11. Juli – also Monate später – gab Microsoft auf Nachhaken von Tenable in einem Blogbeitrag bekannt, dass die Power-Plattform von einem gravierenden Hackerangriff betroffen war. Bis der Software-Gigant schließlich einen Patch veröffentlichte, um die verantwortliche Sicherheitslücke zu schließen, verging noch einmal fast ein weiterer Monat. Microsoft informierte darüber in einem schmallippigen Blog-Beitrag.

Warum die Microsoft-Sicherheitslücke einem Super-GAU gleicht

Bei ihrem Cyberangriff erbeuteten die Hacker einen Microsoft-Signaturschlüssel, der ihnen Zugriff auf Outlook.com und Outlook Web Access verschaffte, wo sie unter anderem E-Mails und Attachments herunterladen konnten. Doch damit nicht genug: Da es sich bei dem Key um einen openID-Signing-Schlüssel für das ADD handelte, konnten die Hacker Zugangstoken für die User Accounts fast aller Cloud Services von Microsoft erstellen. Die Cyberkriminellen hatten zudem Zugriff auf Azure-AD-Instanzen, die von Unternehmen selbst betrieben werden, sofern diese anderen ADD-Instanzen vertrauten und ein „Login with Microsoft“ möglich war. Zwar hat Microsoft den Schlüssel mittlerweile gesperrt. Inwiefern Hacker in der Zwischenzeit aber Hintertüren in der gesamten Microsoft-Cloud eingebaut haben, ist ungewiss. Ein Heise-Artikel legt dieses Risiko ausführlich dar. Bis heute hat Microsoft keine vernünftige Erklärung abgegeben, wie es zu dem Cyberangriff kommen konnte und wie er genau verlaufen ist.

Kunden orientieren sich neu

Angesichts dieser Vorfälle dürfte klar sein, dass die jüngste Sicherheitslücke in Azure nicht die letzte gewesen sein wird. Unternehmen sollten daher dringend handeln und umdenken. Denn wer sich von wenigen großen Cloud-Providern abhängig macht, ist hohen Risiken ausgesetzt. Brechen deren Services einmal zusammen – sei es, weil die Security-Maßnahmen versagen oder aus anderen Gründen – beeinträchtigt das die eigene Infrastruktur erheblich. Die Auswirkungen sind umso gravierender, je mehr Cloud-Dienste von einem einzelnen Anbieter man nutzt. Kunden haben es selbst in der Hand, ihre Konsequenzen zu ziehen. Statt weiterhin blind dem Cloud-Trend zu folgen, ist es sicherer, auf eine hybride Strategie zu setzen. Indem Unternehmen IaaS-Angebote verschiedener Provider mit traditioneller On-Premises-Software kombinieren, können sie Lock-in-Effekte vermeiden und Risiken streuen. Das lohnt sich auch wirtschaftlich, denn dann sind Kunden den kontinuierlichen Preissteigerungen der Hersteller nicht mehr wehrlos ausgeliefert. On-Premises-Lizenzen haben zudem den Vorteil, dass man sie auch gebraucht erwerben kann. So sparen Unternehmen Kosten und wahren ihre digitale Unabhängigkeit.