Ein Team von Sicherheitsforschern hat eine gravierende Sicherheitslücke aufgedeckt, die internen Zugang und sensible Informationen von Microsoft ungeschützt ließ.
Die Sicherheitsforscher Can Yoleri, Murat Özfidan und Egemen Koçhisarlı sind für die Cybersicherheitsfirma SOCRadar tätig. Sie entdeckten einen öffentlichen und ungeschützten Storage Server. Gehostet auf Microsofts Azure Cloud-Service, enthielt dieser Server interne Informationen, die sich auf Microsofts Suchmaschine Bing bezogen, wie auch TechCrunch berichtet. Der Server beherbergte Code, Skripte und Konfigurationsdateien, die Passwörter, Schlüssel und Zugangsdaten enthielten. Microsoft-Mitarbeiter nutzten diese zur Verwaltung anderer interner Datenbanken und Systeme.
Bemerkenswerterweise war der Speicherserver selbst nicht durch ein Passwort geschützt und somit für jedermann im Internet zugänglich. Yoleri wies darauf hin, dass die offengelegten Daten potenziell bösartigen Akteuren helfen könnten, weitere Speicherorte von Microsofts internen Dateien zu identifizieren oder darauf zuzugreifen. Das Auffinden dieser Speicherorte könnte zu noch bedeutenderen Datenlecks führen und möglicherweise die in Gebrauch befindlichen Dienste kompromittieren.
Nachdem die Forscher Microsoft am 6. Februar über die Sicherheitslücke informiert hatten, sicherte das Unternehmen die auslaufenden Dateien am 5. März. Es bleibt unklar, wie lange der Server öffentlich zugänglich war oder ob außer SOCRadar jemand anderes auf die exponierten Daten zugreifen konnte.
Nur eine von vielen Datenpannen
Dieser Vorfall ist nur der neueste in einer Reihe von Sicherheitspannen bei Microsoft. Microsoft geriet zuletzt in Kritik, nachdem das Unternehmen zugegeben hatte, nicht zu wissen, wie von China unterstützte Hacker einen internen E-Mail-Signaturschlüssel gestohlen hatten, der den Hackern weitreichenden Zugriff auf von Microsoft gehostete Posteingänge hochrangiger US-Regierungsbeamter ermöglichte. Ein unabhängiges Gremium von Cyber-Experten, das mit der Untersuchung des E-Mail-Einbruchs beauftragt wurde, berichtete letzte Woche, dass der Erfolg der Hacker auf eine „Kaskade von Sicherheitsversagen bei Microsoft“ zurückzuführen sei.
Im März erklärte Microsoft, weiterhin einen anhaltenden Cyberangriff abzuwehren, der es russischen staatlich unterstützten Hackern ermöglichte, Teile des Quellcodes des Unternehmens und interne E-Mails von Führungskräften von Microsoft zu stehlen.