Nach Microsoft-Fiasko müssen US-Behörden groß aufräumen

Nach Microsoft-Fiasko müssen US-Behörden groß aufräumen

Viel Arbeit haben IT-Admins ziviler US-Behörden. Es geht um Schadensbegrenzung nach dem russischen Einbruch bei Microsofts. Er läuft weiter.

Der Notbefehl 24-02 der Cybersecurity and Infrastructure Security Agency (CISA) macht den IT-Abteilungen ziviler US-Bundesbehörden Beine. Sie müssen umfangreich Daten sichten, Login- und Authentifizierungsdaten erneuern und bestimmte Software deinstallieren. Grund ist das Sicherheits-Fiasko bei Microsoft, das auch Kunden betrifft, wie eben die US-Behörden. Zwischen den Zeilen des Rundschreibens ist zu erkennen, dass die möglichen Folgewirkungen enorm sind. Bereits im Juni hat eine US-Behörde Alarm geschlagen, doch zuletzt haben die Angreifer ihre Aktivitäten verzehnfacht.

Die Angreifer, laut CISA Agenten der Russischen Föderation, haben eine Art Generalschlüssel für weite Teile der Microsoft Cloud erbeutet. Dieser Microsoft-Schlüssel entpuppte sich nicht nur als mächtiger als vermutet, sondern auch als mächtiger als von seinem Erzeuger vorgesehen. Er sollte eigentlich nur für Consumer-Produkte gültig sein, erlaubte den als Midnight Blizzard bezeichneten Tätern aber dennoch, neue Zugangsdaten für kommerzielle Dienste zu erstellen – ausgerechnet E-Mails aus Microsofts Sicherheitsabteilung konnten die Angreifer erbeuten.

Und mit dieser Abteilung haben sich offenbar zahlreiche US-Behörden ausgetauscht. Klar, gemeinsame Aufgabe ist ja die Abwehr von IT-Angriffen. Wer diese Kommunikation lesen kann, erfährt nicht-öffentliche Details zu Vorkehrungen und Schwachstellen in behördlicher IT. Das erleichtert Angriffe auf diese erheblich, ist also ein Jackpot für IT-Spione.

Die US-Behörden müssen nun die gesamte Korrespondenz mit allen ausgekundschafteten Microsoft-Gegenstellen überprüfen. Was könnten sie den Russen dabei verraten haben? Und welche Auswirkungen hat das auf die IT-Sicherheit? Im Fachsprech heißt das cybersecurity impact analysis.

Software ausmustern

Microsoft hat Unterstützung in Form von Korrespondez-Metadaten zugesagt. Erhält eine Behörde solche Metadaten von Microsoft, oder findet sie bei der eigenen Suche in der Korrespondenz Anlass zur Sorge, muss sie rasch zur Tat schreiten: “Räumen Sie Tokens, Passwörter, API-Schlüssel oder andere Authentifizierungs-Daten auf, von denen Sie wissen oder vermuten, dass sie kompromittiert worden sind”, ordnet CISA an. Und: “Überprüfen Sie die Logs für Anmeldungen, Token-Ausgaben und andere Kontoaktivitäten auf bösartige Vorgänge”. Das betrifft Nutzer und Diensten, deren Zugangsdaten kompromittiert worden sein könnten.

Bei der Gelegenheit sollen auch alle Anwendungen deaktiviert werden, die die Behörde nicht mehr braucht. Das ist generell eine hervorragende Idee; nur stellt sich manchmal erst im Nachhinein heraus, dass doch irgendwer in irgendeiner Abteilung irgendein obskures Programm noch verwenden wollte. Daher laufen nicht selten obsolete Dienste jahrelang ungepflegt weiter, zur Freude potenzieller Angreifer. Also jetzt bitte weg damit.

Schnell soll es gehen, jedenfalls im Behördenmaßstab. Ende April sollen alle Arbeiten abgeschlossen sein, am 1. Mai ist der CISA Bericht zu erstatten. Welche zivilen US-Bundesbehörden konkret betroffen sind, verrät das veröffentlichte Dokument vom 2. April nicht. Es dürften viele sein, sonst hätte die CISA individuelle Maßnahmen mit den betroffenen Stellen abklären können.

Angriffe laufen weiter

Aufgefallen ist der erfolgreiche Angriff übrigens ebenfalls einer US-Bundesbehörde. Sie entdeckte verdächtige Vorgänge in ihren Microsoft-Logs und informierte das Unternehmen. Die Behörde konnte das allerdings nur anhand von “Premium-Log-Daten” feststellen, für die Microsoft extra Gebühren kassierte. Diese Praxis hat Microsoft inzwischen abgestellt und gewährt allen Microsoft-365-Kunden kostenlosen Zugriff auf die Logdaten.

Unterdessen lassen die Täter das Mausen nicht. Laut Microsoft hat Midnight Blizzard den Umfang bestimmter Einbruchsversuche, darunter sogenannte password sprays, deutlich gesteigert. Im Februar sei das Volumen auf das Zehnfache des ohnehin schon hohe Niveau des Vormonats angeschwollen.