Microsoft hat eine Sicherheitslücke behoben, durch die interne Unternehmensdateien und Anmeldeinformationen dem offenen Internet zugänglich gemacht wurden.
Die Sicherheitsforscher Can Yoleri, Murat Özfidan und Egemen Koçhisarlı von SOCRadar, einem Cybersicherheitsunternehmen, das Unternehmen bei der Suche nach Sicherheitslücken unterstützt, entdeckten einen offenen und öffentlichen Speicherserver, der auf dem Cloud-Dienst Azure von Microsoft gehostet wurde und interne Informationen im Zusammenhang mit der Bing-Suchmaschine von Microsoft speicherte.
Auf dem Azure-Speicherserver befanden sich Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldeinformationen, die von den Microsoft-Mitarbeitern für den Zugriff auf andere interne Datenbanken und Systeme verwendet wurden.
Der Speicherserver selbst war jedoch nicht durch ein Passwort geschützt und konnte von jedem im Internet aufgerufen werden.
Yoleri sagte gegenüber Tech, dass die offengelegten Daten böswilligen Akteuren möglicherweise dabei helfen könnten, andere Orte zu identifizieren oder darauf zuzugreifen, an denen Microsoft seine internen Dateien speichert. Die Identifizierung dieser Speicherorte „könnte zu größeren Datenlecks führen und möglicherweise die genutzten Dienste gefährden“, sagte Yoleri.
Die Forscher informierten Microsoft am 6. Februar über die Sicherheitslücke und Microsoft sicherte die verschütteten Dateien am 5. März.
Es ist nicht bekannt, wie lange der Cloud-Server dem Internet ausgesetzt war oder ob jemand anderes als SOCRadar die darin enthaltenen offengelegten Daten entdeckt hat. Als er per E-Mail kontaktiert wurde, gab ein Sprecher von Microsoft zum Zeitpunkt der Veröffentlichung keinen Kommentar ab. Microsoft hat nicht gesagt, ob die offengelegten internen Anmeldeinformationen zurückgesetzt oder geändert wurden.
Dies ist der jüngste Sicherheitsfehler bei Microsoft, da das Unternehmen nach einer Reihe von Cloud-Sicherheitsvorfällen in den letzten Jahren versucht, das Vertrauen seiner Kunden wiederherzustellen. Bei einer ähnlichen Sicherheitslücke im vergangenen Jahr fanden Forscher das heraus Microsoft-Mitarbeiter legten ihre eigenen Unternehmensnetzwerk-Logins offen im auf GitHub veröffentlichten Code.
Auch Microsoft geriet letztes Jahr unter Beschuss, nachdem das Unternehmen zugab, nicht zu wissen, wie von China unterstützte Hacker einen internen E-Mail-Signaturschlüssel gestohlen hatten, der den Hackern weitreichenden Zugriff auf die von Microsoft gehosteten Posteingänge hochrangiger US-Regierungsbeamter ermöglichte. Ein unabhängiges Gremium aus Cyber-Experten, das mit der Untersuchung des E-Mail-Verstoßes beauftragt war, schrieb in seinem letzte Woche veröffentlichten Bericht, dass die Hacker aufgrund einer „Kaskade von Sicherheitsmängeln bei Microsoft“ erfolgreich waren.
Im März gab Microsoft bekannt, dass man weiterhin gegen einen laufenden Cyberangriff vorgeht, der es staatlich unterstützten russischen Hackern ermöglichte, Teile des Quellcodes des Unternehmens und interne E-Mails von Microsoft-Führungskräften zu stehlen.