Microsoft hat sich am Mittwoch verpflichtet, allen Kunden kostenlosen Zugang zu Cloud-Sicherheitsprotokollen zu gewähren, eine Funktion, die normalerweise nur Premium-Kunden zur Verfügung steht. Dieser Schritt folgt unmittelbar auf Berichte, wonach E-Mails, die auf Cloud-Servern der Regierung gehostet werden, Gegenstand eines angeblichen Hacking-Versuchs aus China waren.

In einem Blog-Beitrag aus dem Jahr 2023 erläuterte Microsoft seine Pläne, den Zugang zu diesem Dienst zu erweitern, um die inhärente Sicherheit” seiner Cloud-Plattformen angesichts der eskalierenden und sich weiterentwickelnden Cyber-Bedrohungen durch Nationalstaaten” zu verbessern.

Für Kunden, die das Standardpaket von Microsoft Purview Audit verwenden, wird die standardmäßige Aufbewahrungsfrist von 90 auf 180 Tage verlängert.

Obwohl Protokolle Angriffe nicht direkt abwehren können, betont Microsoft ihren Wert für die Reaktion auf Zwischenfälle und die digitale Forensik, da sie dabei helfen, zwischen normalem und verdächtigem Benutzerverhalten zu unterscheiden.

Die Entscheidung, so Microsoft, ist das Ergebnis einer intensiven Zusammenarbeit mit kommerziellen und staatlichen Kunden sowie der Cybersecurity and Infrastructure Security Agency (CISA). CISA hat Berichten zufolge eine stärkere Rechenschaftspflicht der Industrie in Fragen der Cybersicherheit gefordert.

Lesen Sie auch: “Navigieren in der Cybersicherheit: Googles Pilotprogramm zur Sicherung des Nutzervertrauens”

Die Direktorin der CISA, Jen Easterly, bezeichnete den Schritt als “Fortschritt in die richtige Richtung”. In einem Blog-Beitrag auf der CISA-Website, in dem er die Entscheidung begrüßte, verwies Eric Goldstein, der stellvertretende Direktor für Cybersicherheit der Organisation, auf den jüngsten Verstoß gegen Microsoft Exchange Online.

Goldstein erklärte, dass die Protokolldaten den von der Sicherheitsverletzung betroffenen Behörden geholfen haben, das Eindringen in die Cloud-E-Mail-Dienste von Microsoft zu erkennen und Maßnahmen zur Schadensbegrenzung einzuleiten. Er erklärte, dass die Erhebung von Gebühren für die Protokollierung von Daten “ein Hindernis für eine umfassende Transparenz bei der Untersuchung von Cybersicherheitsvorfällen darstellt”.

Der Angriff, den Microsoft als spionageorientiert und mit einer in China ansässigen Bedrohungsgruppe namens Storm-O558 in Verbindung gebracht hat, wurde von der Federal Civilian Executive Branch (FCEB) entdeckt. Zu den bestätigten Opfern gehören die US-Handelsministerin Gina Raimondo und verschiedene andere Beamte des Außen- und Handelsministeriums. Die Angreifer hatten Berichten zufolge etwa einen Monat lang Zugriff auf das Konto, bevor sie am 16. Juni 2023 entdeckt wurden.

Microsoft meldete, dass die Bedrohungsgruppe Azure Active Directory (AD)-Tokens mit einem gekaperten Microsoft Account (MSA) Consumer Signing Key fälschte, was durch eine Schwachstelle im Validierungscode von Microsoft möglich war. Ein missbräuchlich verwendeter Schlüssel ermöglichte es dem Spezialteam von Microsoft, alle Zugriffsanfragen der Bedrohungsgruppe zu überwachen.

Am Freitag gab Microsoft zu, dass es immer noch im Dunkeln tappt, wie die Hacker in den Besitz des Signierschlüssels für den Kontozugang gekommen sind, und erklärte, dass die Untersuchung “noch im Gange” sei.

Das Unternehmen gab auch bekannt, dass es beobachtet hat, wie Storm-0558 zu anderen Methoden überging, was darauf hindeutet, dass die Fähigkeit der Gruppe, Signierschlüssel zu verwenden, durch Cybersicherheitsmaßnahmen behindert wurde. ®