Microsoft wird von einem US-Senator kritisiert, weil es zweimal nicht gelungen ist, staatlich geförderte Hacker daran zu hindern, in US-Regierungssysteme einzudringen: beim SolarWinds-Hack im Jahr 2020 und beim neueren Outlook-basierten E-Mail-Hack, der diesen Monat bekannt gegeben wurde.
Senator Ron Wyden (D-Oregon) fordert vom Justizministerium, der Federal Trade Commission und der Cybersicherheitsbehörde des Landes, CISA, eine Untersuchung gegen Microsoft.
„Ich schreibe, um Ihre Behörden aufzufordern, Maßnahmen zu ergreifen, um Microsoft für seine fahrlässigen Cybersicherheitspraktiken zur Verantwortung zu ziehen, die eine erfolgreiche chinesische Spionagekampagne gegen die US-Regierung ermöglicht haben“, sagte er schrieb(Öffnet in einem neuen Fenster) am Donnerstag.
Laut Wyden erlangten die Hacker, die hinter dem SolarWinds-Vorfall und dem Outlook-Verstoß steckten, teilweise aufgrund schlechter Sicherheitspraktiken von Microsoft Zugriff. Doch anstatt die Schuld einzugestehen, schob der Softwareriese die Schuld angeblich auf andere ab und forderte die Kunden auf, bei Microsoft-Produkten zu bleiben.
Wyden führt beispielsweise an, wie die mutmaßlichen chinesischen Hacker, die diesen Monat in E-Mail-Konten der US-Regierung eingebrochen sind, dies mithilfe gefälschter Authentifizierungstoken für Exchange Online und Outlook.com getan haben. In Eigenregie Blogeintrag(Öffnet in einem neuen Fenster)Microsoft enthüllte, dass die Hacker irgendwie an einen „Consumer-Signaturschlüssel für ein Microsoft-Konto (MSA)“ gelangt waren, der auch zur Fälschung der Authentifizierungstoken für Unternehmenskonten ausgenutzt werden konnte.
„Trotz der begrenzten Details, die bisher veröffentlicht wurden, trägt Microsoft eine erhebliche Verantwortung für diesen neuen Vorfall“, sagt Wyden. „Erstens hätte Microsoft keinen einzigen Skelettschlüssel haben dürfen, der, wenn er unweigerlich gestohlen wird, dazu verwendet werden könnte, den Zugriff auf die private Kommunikation verschiedener Kunden zu fälschen.“
Das andere Problem besteht darin, dass Microsoft es versäumt hat, solche Signaturschlüssel in einem Hardware-Tresor, einem sogenannten Hardware-Sicherheitsmodul, zu speichern – eine Praxis, die Microsoft selbst den Kunden vorgeworfen hat, dass sie dies während des SolarWinds-Verstoßes nicht getan haben, heißt es in Wydens Brief.
Anschließend kritisierte der Senator das Unternehmen wegen der beim Outlook-Hack verwendeten Signaturschlüssel. Nach(Öffnet in einem neuen Fenster) Nach Angaben des Cloud-Sicherheitsanbieters Wiz war ein Schlüssel mindestens seit 2016 gültig, bevor er in den letzten Wochen ersetzt wurde. „Bundesrichtlinien zur Cybersicherheit, Best Practices der Branche und Microsofts eigene Empfehlungen an Kunden schreiben vor, dass Verschlüsselungsschlüssel häufiger aktualisiert werden, und zwar aus dem Grund, dass sie möglicherweise kompromittiert werden“, sagt Wyden.
Darüber hinaus konnten die internen und externen Prüfungen von Microsoft die Schwachstelle bei der Schlüsselsignierung nicht erkennen, was bedeutet, dass die Produkte des Unternehmens möglicherweise andere Probleme enthalten. „Microsoft für seine Nachlässigkeit zur Verantwortung zu ziehen, erfordert eine gesamtstaatliche Anstrengung“, fügt Wyden hinzu.
Von unseren Redakteuren empfohlen
Microsoft reagierte nicht sofort auf eine Anfrage nach einem Kommentar. In der Zwischenzeit fordert Wyden den US-Generalstaatsanwalt Merrick Garland auf, zu untersuchen, ob Microsoft beim Erhalt von Bundesmitteln die erforderlichen Cybersicherheitsstandards nicht eingehalten hat. Wyden möchte außerdem, dass CISA die jüngsten Outlook-Hacks und die Rolle von Microsoft dabei untersucht.
AKTUALISIEREN: Als Antwort auf Wydens Brief sagte Microsoft: „Dieser Vorfall zeigt die sich entwickelnden Herausforderungen der Cybersicherheit angesichts raffinierter Angriffe. Wir arbeiten in dieser Angelegenheit weiterhin direkt mit Regierungsbehörden zusammen und bleiben unserer Verpflichtung treu, weiterhin Informationen auszutauschen.“ Microsoft Threat Intelligence-Blog(Öffnet in einem neuen Fenster).”
In der Zwischenzeit teilte CISA mit, dass die Behörde „den Brief von Senator Wyden erhalten hat und wir freuen uns darauf, ihm direkt zu antworten.“ Generell arbeiten wir weiterhin mit Technologieanbietern, einschließlich Microsoft, zusammen, um die Einführung von „Secure by Design“-Praktiken voranzutreiben, die dabei helfen, alle zu schützen Amerikanische Organisation sicher.“
Gefällt Ihnen, was Sie gerade lesen?
Melden Sie sich an für SecurityWatch Newsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich damit einverstanden Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können den Newsletter jederzeit abbestellen.