Microsoft hat einen groben Sicherheitsfehler behoben: Trotz externem Warnhinweis lagen wochenlang auf einem ungeschützten Server in Azure viele Codes, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldeinformationen für den Zugriff auf Dienste für die Suchmaschine Bing.
Wie das Technik-Portal TechCrunch berichtet, haben Ihnen die Sicherheitsforscher Can Yoleri, Murat Özfidan und Egemen Koçhisarlı von SOCRadar berichtet, dass sie auf einem offenen Server in Azure interne Informationen zur Bing-Suchmaschine von Microsoft gefunden haben. Die Spezialisten suchen normalerweise Schwachstellen die angegriffen werden könnten. In diesem Fall gab es keine Hürde für den sofortigen Zugriff. Die gefundenen Daten enthielt Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldeinformationen, die von Microsoft-Mitarbeitern für den Zugriff auf andere interne Datenbanken und Systeme verwenden.
Trotz Hinweis bleibt Microsoft-Server 4 Wochen lang offen
Der Server in Azure war nicht passwortgeschützt und konnte von jedem über das Internet abgerufen werden. Die Daten können Angreifern Zugang zu vielen Systemen geben, in denen sie sich vielleicht sogar schon neue Zugriffe eingebaut haben, wenn die alten Zugänge geändert würden. Laut den Experten von SOCRadar gegenüber TecCrunch könnte die Art der Ablage und die Namen der Strukturen für die Angreifer wertvoll sein, da sie nun genau danach suchen werden. Die Forscher benachrichtigten Microsoft bereits am 6. Februar über die Sicherheitslücke. Aber Microsoft sicherte die durchgesickerten Dateien erst am 5. März 2024 – 4 Wochen später. Niemand weiß ob bereits andere Akteure den Microsoft-Server vor SOCRadar entdeckt haben.
Microsoft bleibt weiter in der Kritik, da sich in letzter Zeit immer wieder Sicherheitsfehler ereignet hatten. Einmal haben Microsoft-Mitarbeiter ihre eigenen Unternehmensnetzwerk-Anmeldedaten in auf GitHub veröffentlichtem Code offenlegt. Letztes Jahr hatten von China unterstützte Hacker einen Microsoft internen E-Mail-Signaturschlüssel gestohlen. Microsoft selbst war das Ganze ein Rätsel. Allerdings fand später eine Kommission heraus, wohl eine „Kaskade von Sicherheitsmängeln bei Microsoft“ den Diebstahl begünstigt hatten. Erst jüngst musste Microsoft melden, dass russische Hacker E-Mails von eignen Führungskräften gestohlen haben.
Red./sel