Die Einrichtung US Cyber Safety Review Board (CSRB) wird vielleicht nicht jedem etwas sagen. Es handelt sich um eine Behörde der US-Regierung, welche von dem Homeland-Ministerium gegründet wurde. Die Behörde ist dafür verantwortlich, Untersuchungen anzustreben, sollte es auf höchstem Level zu Sicherheitsbedenken, Hacks und weiteren sicherheitsrelevanten Aktionen kommen. Kein Wunder also, dass das CSRB auch damit beauftragt wurde, den Angriff auf Microsoft Exchange Online im vergangenen Sommer zu untersuchen. Wie die Quelle The Verge nun mitteilte, hat das CSRB ein knallhartes Urteil in dieser Angelegenheit gefällt und Microsoft kommt dabei alles andere als gut weg.
Als die Gruppierung Storm-0558 aus China Microsoft hackte
Der Vorfall ist uns sicherlich allen noch in Erinnerung, aber falls nicht, hier eine kurze Zusammenfassung: Die Hacker verwendeten einen Microsoft-Kontoschlüssel (MSA), um die Fälschung von Token vorzunehmen, was es ihnen erlaubte, den Zugriff auf Outlook im Web (OWA) zu erhalten. Sie verschafften sich außerdem Zugriff zu Outlook.com. Aufgrund dieses Hacks war es der Gruppe aus China möglich, E-Mail-Zugänge von 22 Organisationen zu erhalten.
Kritik an Microsoft: Der Hackvorgang hätte laut CSRB einfach verhindert werden können
Das CSRB bestätigt in seinem Bericht, dass es eine Reihe von „operativer und strategischer Entscheidungen“ von der Seite Microsofts gab, welche dazu führten, dass der Hackversuch überhaupt erst erfolgreich gestaltet werden konnte. Das Handeln von Microsoft stehe zudem im Widerspruch zu dem Qualitätsversprechen, das Microsoft seinen Kunden in Bezug auf Datensicherheit ausspricht.
Auch die Aufarbeitung des Hacks steht in der Kritik, denn es muss an dieser Stelle erwähnt werden, dass Microsoft bis heute nicht genau herausgefunden hat, wie die Hackergruppe überhaupt erst an den Key gekommen ist. Insgesamt ist die Kritik an Microsoft sicherlich berechtigt, denn es handelte sich um einen der bedeutsamsten Hackerangriffe des Jahres 2023.
