Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat erließ eine Notfallrichtlinie, nachdem festgestellt wurde, dass russische Spionageagenten, bekannt als Midnight Blizzard oder Cozy Bear, das E-Mail-System von Microsoft infiltriert hatten. Der Verstoß, der erstmals Anfang des Jahres gemeldet wurde, ermöglichte es den Hackern, auf sensible Daten zuzugreifen und diese zu exfiltrieren, darunter E-Mail-Korrespondenz zwischen den Behörden der Federal Civilian Executive Branch (FCEB) und Microsoft. Zu den gestohlenen Daten gehören Authentifizierungsdaten, die Berichten zufolge für Versuche verwendet werden, auf weitere Systeme zuzugreifen.
Einzelheiten zum Verstoß und erforderliche sofortige Maßnahmen
Bei Entdeckung Aufgrund des Verstoßes verpflichtet die Dringlichkeitsrichtlinie ED 24-02 der CISA die Bundesbehörden dazu, eine gründliche Überprüfung der kompromittierten E-Mails durchzuführen, alle offengelegten Anmeldeinformationen zurückzusetzen und die Sicherheit der Authentifizierungstools zu erhöhen, insbesondere für privilegierte Microsoft Azure-Konten. Die Behörden sind verpflichtet, ihre ersten Ergebnisse bis zum 8. April zu melden. Eine anschließende Aktualisierung ist bis zum 1. Mai fällig, gefolgt von wöchentlichen Aktualisierungen der Abhilfemaßnahmen, bis das Problem vollständig gelöst ist. Microsoft hat sich verpflichtet, den betroffenen Behörden Metadaten im Zusammenhang mit den exfiltrierten E-Mails zur Verfügung zu stellen, um bei der Identifizierung und Minderung potenzieller Sicherheitsrisiken zu helfen.
Auswirkungen und Reaktionen
Der Verstoß stellt nicht nur eine große Bedrohung für die Cybersicherheit dar, sondern wirft auch einen Schatten auf die Sicherheitspraktiken von Microsoft. Kritiker, darunter Amit Yoran, Vorsitzender und CEO von Tenable, haben gegenüber The Register Bedenken hinsichtlich der Vorgehensweise von Microsoft geäußert des Vorfalls, was darauf hindeutet, dass die „nachlässigen Sicherheitspraktiken und der fahrlässige Ansatz des Unternehmens bei der Offenlegung“ ein nationales Sicherheitsrisiko darstellen. Die Eskalation der Einbruchsversuche von Midnight Blizzard, insbesondere durch Passwort-Spraying-Angriffe, die sich Berichten zufolge im Februar im Vergleich zum Januar verzehnfacht haben, unterstreicht dies anhaltende Bedrohung durch die Gruppe.
Als Reaktion Aufgrund des Verstoßes plant CISA, bis zum 1. September einen umfassenden Bericht zu erstellen, in dem der behördenübergreifende Status und alle offenen Fragen aufgeführt sind. Dieser Bericht wird dem Minister für Innere Sicherheit und dem Direktor des Büros für Verwaltung und Haushalt vorgelegt Eine Kopie wird auch dem Nationalen Cyber-Direktor zur Verfügung gestellt. Der Vorfall verdeutlicht die anhaltenden Herausforderungen im Bereich der Cybersicherheit und die Notwendigkeit wachsamer Sicherheitspraktiken bei Bundesbehörden und ihren Partnern im Privatsektor.
