robsonphoto - stock.adobe.com
Microsoft: Angreifer hatten Zugriff auf Mitarbeiter-E-Mails
Cyberangreifern ist es gelungen, Zugriff auf einige E-Mail-Konten von Microsoft-Mitarbeitern und Führungskräften zu erhalten und E-Mails wie Anhänge zu erbeuten.
Bei einem Cyberangriff, der im November 2023 begann, sei es Cyberangreifern gelungen, auf einige E-Mail-Konten von Microsoft-Mitarbeitern zuzugreifen. Dabei habe es sich um E-Mail-Konten unter anderem von einigen Führungskräften und Mitarbeitern aus den Bereichen Recht und Cybersicherheit gehandelt. Der Bedrohungsakteur habe einige E-Mails und angehängte Dokumente exfiltriert. Dies teilte Microsoft in einem Blogbeitrag seines Security Response Center mit.
Das Microsoft-Sicherheitsteam habe am 12. Januar 2024 einen Angriff auf die Unternehmenssysteme entdeckt und die entsprechenden Prozesse eingeleitet, um diese Aktivitäten zu untersuchen und den Angriff zu unterbrechen. Dabei habe man den weiteren Zugriff des Bedrohungsakteurs unterbunden. Als Bedrohungsakteur habe man die Gruppe Midnight Blizzard identifiziert. Hierbei handele es sich um einen vom russischen Staat unterstützten Akteur, der bislang auch als Nobelium bekannt sei.
Der Angreifer habe über einen Passwort-Spraying-Angriff Zugriff auf ein Testkonto erhalten. Von diesem alten nicht mehr im Produktivbetrieb genutzten Testkonto aus, konnte der Angreifer über die Berechtigungen des Kontos Zugriff auf einen kleinen Prozentsatz von Microsofts Unternehmens-E-Mail-Konten erhalten. Beim Passwort-Spraying wird ein Massenansatz verfolgt und versucht mit gängigen Passwörtern Zugriff zu erhalten. Die Untersuchung habe ergeben, dass der Angreifer es auf E-Mail-Konten abgesehen habe, um Informationen über Midnight Blizzard selbst zu finden. Man sei aktuell dabei, die betroffenen Mitarbeiter zu benachrichtigen.
Microsoft gibt an, dass dieser Angriff nicht das Ergebnis einer Schwachstelle in Microsoft-Produkten oder Diensten sei. So gebe es bislang keine Hinweise darauf, dass der Bedrohungsakteur Zugang zu Produktionssystemen, Quellcode, Kundenumgebungen oder KI-Systemen gehabt habe. Falls Maßnahmen erforderlich seien, würde man die Kunden benachrichtigen.
Die von Nationalstaaten finanziert Bedrohungsakteure würden das Gleichgewicht zwischen Sicherheit und Geschäftsrisiko weiter verschieben, so Microsoft. Der Vorfall verdeutliche, dass man schneller handeln müsse. Man werden die aktuellen Sicherheitsstandards auf die Microsoft-eigenen Legacy-Systeme und internen Geschäftsprozess anwenden. Auch wenn dies zu Änderungen und Unterbrechung bestehender Geschäftsprozesse führen könnte.
