Bug bei Unternehmenskunden
Microsoft Exchange zeigt vorübergehend fremde Adresslisten an
Wie es aussieht, gab es bei Microsoft zumindest temporär ein massives Sicherheitsproblem im Zusammenhang mit der Mandantenverwaltung von Microsoft 365 für Unternehmenskunden, den sogenannten „Tenants“. Nutzern wurden bei der Verwendung von Outlook Adresslisten aus anderen Unternehmen angezeigt.
Von der Problematik waren den bislang vorliegenden Berichten zufolge Microsoft-Kunden in verschiedenen Ländern betroffen. Ein uns vorliegender Bericht deckt sich mit den Erfahrungen der Nutzer, die hier auf Reddit sowie in einem Beitrag des Windows-Blogs Born City zitiert werden. Beim Versuch, eine E-Mail-Adresse in das Empfängerfeld von Exchange Online einzutragen, wurden gewöhnlichen Nutzern komplett fremde Adresslisten angezeigt.
Microsoft Exchange (Symbolbild: Microsoft)
Der Fehler hat soweit bislang bekannt über einen begrenzten Zeitraum hinweg am gestrigen Nachmittag bestanden. Der Spuk war offenbar auch wieder vorbei, sobald der betroffene Nutzer das auf der Globalen Adressliste (GAL) von Exchange basierende Adressbuch oder Outlook komplett geschlossen hat.
Fehler trat zeitlich begrenzt auf
Eigentlich sollten diese Adressliste lediglich jene Kontaktdaten erhalten, die vom Unternehmen beziehungsweise den verantwortlichen Administratoren für die Verwendung im Unternehmensumfeld freigegeben sind. Standardmäßig ist hier eine „Default Global Address List“ konfiguriert, die alle internen Benutzer von Microsoft 365 umfasst. Neben den Desktop- und Mobilversionen von Outlook greifen zum Teil auch noch weitere Microsoft-Produkte auf diese Listen zu.
Weiterführende Erklärungen seitens Microsoft stehen bislang aus. Den Administratoren der betroffenen Systeme zufolge scheint der Fehler jedoch nicht auf einem Hack, sondern vielmehr auf einer temporären Fehlkonfiguration zu bestehen. Datenschutzrechtliche Konsequenzen könnte ein derart gravierendes Fehlverhalten dennoch nach sich ziehen.
Ist das dann nicht schon ein Verstoß gegen Datenschutz? Fehler hin, Fehler her?
Klaro.
Das wird teuer.
Für wen? M$ oder den Kunden?
Erstmal für den Kunden, die können dann aber sich den Schaden von MS wieder zurückholen.
Die Frage ist halt die der Beweisbarkeit.
Wie kann derjenige, dessen Daten bei fremden Tenants angezeigt wurden, nachweisen? Dazu müsste ja der geschädigte mit dem unfreiwilligen Datennutzer sich kontaktieren, um Microsoft schuldhaftes Verhalten oder sowas nachzuweisen?
Bei Microsoft ist in letzter Zeit echt der Wurm drin. Es gab auch schon mehrere Ausfälle die in verschiedensten Portalen thematisiert wurden. Wir bekommen es von unserer IT mit. Der größte Knaller war aber das der Master Key gestohlen wurde. Die Geschichte ist ja mal Mega Epic. Medial aber totgeschwiegen.
Also Kundendaten etc. erbeutet. Ich glaube Cloud und Office wird für Microsoft eine Nummer zu groß.
Aber einen masterkey sollte nie ein cloud Provider innehalten. Sondern der Kunde. Ich hab meinen Master key on premise
Das wurde nicht totgeschwiegen…
Doch. Und es haben sich größere Portalen über das Totschweigen beschwert.
Wie so oft, Dein Gewissen wieder mal mit Falschaussagen. Alle wichtigen Portale haben berichtet. Such Dir einfach neue Quellen, wenn Deine bevorzugten Quellen ahnungslos sind.
Eben nicht. Das war ja das Problem in der Debatte auch. Hier kam auch nichts dazu. Im TV oder Tageszeitung nichts. Oder denkst du das hei.se schwindelt wenn die sich darüber aufregen das niemand berichtet. 0 Plan Junge.
Für alle die es interessiert und die Microsoft Fan.boys hier eh lächerlich halten:
Doch inzwischen ist klar: Angreifer konnten wochenlang quasi beliebig auf nahezu alle Daten bei Microsofts Clouddiensten zugreifen – das betraf unter anderem Am 11. Juli 2023 feierte sich Microsoft selbst mit einer Erklärung, man habe die Angriffe chinesischer Akteure auf Kunden-E-Mails entschärft. Allzu viele Angaben über das Ausmaß des Vorfalls machte der Unternehmen nicht.
Doch inzwischen ist klar: Angreifer konnten wochenlang quasi beliebig auf nahezu alle Daten bei Microsofts Clouddiensten zugreifen – das betraf unter anderem Outlook, Sharepoint, Office365, Teams, OneDrive und Drittanwendungen, die die Funktion „Sign in with Microsoft“ anbieten.
Bis heute weigert sich der Konzern, die genauen Hintergründe und die sich daraus ergebenden Konsequenzen offenzulegen. Bekannt ist Folgendes: Den mutmaßlich chinesischen Angreifern, die Microsoft als Storm-0558 bezeichnet, war es gelungen, einen wichtigen Schlüssel zu stehlen. Und mit dem konnten sie unter anderem fremde E-Mails lesen. Diesen GAU klärt Microsoft nur unzureichend auf.
Der Gau geht noch viel weiter und schlimmer!
Mit diesem Key konnten sich die Angreifer weitere, gültige Keys generieren.
Und selbst als der Masterkey abgeschaltet wurde/sein sollte, funktionierte er weiterhin. Genauso die davon signierten, weiteren Keys.
Und ob der Spuk schon vorbei ist weis man nicht, wird ja dicht gehalten.
Mit diesem gestohlenen Masterkey wurde quasi die komplette Microsoft Cloud kompromittiert.
Azure, AD auf Azure, Sharepoint, Exchange, einfach alles was Microsoft in der Cloud anbietet.
Und dafür das es ein so eklatanter GAU ist wird eindeutig viel zu wenig berichtet!
Das stimmt.
Wie gut ist denn mittlerweile der Service von Apple, wenn man seine eigene Domain über iCloud nutzt? Gibt es dazu Erfahrungen und/oder Tests?
Interessieren würde mich vor allem das Thema Kalender Einladungen von nicht Apple Servern.
Also ich bin zufrieden. Läuft gut. Bzw. Kann bisher nichts gegenteiliges behaupten.
Wie gut funktioniert denn die Annahme/Absagung von Kalendereinladung von zB einem Exchange Anwender?
Meines Wissens nach musste man bisher immer die angehängte CalDav Datei in der entsprechenden Email in den Kalender importieren. Das Zu- und Absagen konnte dann nie verwendet werden, da der Apple Kalender es dann als eigenes Ereignis gesehen hat und nicht als Einladung.
Das erinnert mich daran, als Microsoft den Schlüssel für sämtliche Cloud-Konten „verloren“ hatte und dieser im Internet auftauchte. (Siehe CT´ 2023 Heft 19)