Microsoft hat eine Sicherheitslücke behoben, durch die interne Unternehmensdateien und Zugangsdaten im offenen Internet zugänglich waren.
Sicherheitsforscher Can Yoleri, Murat Özfidan und Egemen Koçhisarlı von SOCRadar, einem Unternehmen für Cybersicherheit, das Organisationen dabei unterstützt, Sicherheitsschwächen zu identifizieren, entdeckten einen offen und öffentlich zugänglichen Speicherserver auf Microsofts Azure-Cloud-Dienst, der interne Informationen über Microsofts Bing-Suchmaschine speicherte.
Der Azure-Speicherserver enthielt Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Zugangsdaten, die von Microsoft-Mitarbeitern zur Anmeldung an anderen internen Datenbanken und Systemen verwendet wurden. Jedoch war der Speicherserver selbst nicht durch ein Passwort geschützt und konnte von jedem im Internet aufgerufen werden.
Yoleri erklärte gegenüber TechCrunch, dass die freigelegten Daten potenziell böswilligen Akteuren helfen könnten, andere Orte zu identifizieren oder darauf zuzugreifen, an denen Microsoft seine internen Dateien speichert. Das Identifizieren dieser Speicherorte „könnte zu bedeutenderen Datenlecks führen und möglicherweise die genutzten Dienste kompromittieren“, so Yoleri.
Die Forscher informierten Microsoft über die Sicherheitslücke am 6. Februar, und Microsoft sicherte die auslaufenden Dateien am 5. März.
Es ist nicht bekannt, wie lange der Cloud-Server dem Internet ausgesetzt war, oder ob jemand anderes als SOCRadar auf die freigelegten Daten gestoßen ist. Auf Anfrage per E-Mail gab ein Sprecher von Microsoft bis zur Veröffentlichung keinen Kommentar. Microsoft gab nicht an, ob es irgendwelche der freigelegten internen Zugangsdaten zurückgesetzt oder geändert hat.
Dies ist der neueste Sicherheitsfehler bei Microsoft, da das Unternehmen versucht, das Vertrauen seiner Kunden nach einer Reihe von Sicherheitsvorfällen in der Cloud in den letzten Jahren wieder aufzubauen. In einem ähnlichen Sicherheitsvorfall im letzten Jahr fanden Forscher heraus, dass Microsoft-Mitarbeiter ihre eigenen Unternehmensnetzwerk-Logins in auf GitHub veröffentlichtem Code preisgaben.
Microsoft geriet auch letztes Jahr unter Beschuss, nachdem das Unternehmen zugab, nicht zu wissen, wie von China unterstützte Hacker einen internen E-Mail-Signaturschlüssel stahlen, der den Hackern weitreichenden Zugang zu von Microsoft gehosteten Postfächern hochrangiger US-Regierungsbeamter ermöglichte. Ein unabhängiges Gremium von Cyber-Experten, das mit der Untersuchung des E-Mail-Bruchs beauftragt war, schrieb in ihrem letzten Woche veröffentlichten Bericht, dass die Hacker aufgrund einer „Kaskade von Sicherheitsversäumnissen bei Microsoft“ erfolgreich waren.
Im März erklärte Microsoft, dass es weiterhin einen andauernden Cyberangriff abwehrt, der es russischen staatlich unterstützten Hackern ermöglichte, Teile des Quellcodes des Unternehmens und interne E-Mails von Microsoft-Führungskräften zu stehlen.