Details zum Microsoft-Leak: Über eine Million interne Dateien waren öffentlich
Der Entdecker des weit offenstehenden Datenspeichers voller interner Microsoft-Informationen verriet heise Security weitere Details – Redmond ist schmallippig.
Einige Tage nach Bekanntwerden einer Datenpanne beim Software- und Cloudkonzern Microsoft hat einer der Entdecker im Gespräch mit heise Security Details zu seinem Fund enthüllt. So fand er den ungeschützten Bereich im Azure Blob Storage bei einem routinemäßigen internetweiten Scan und stieß auf über eine Million Dateien verschiedener Formate.
Can Yoleri, Sicherheitsforscher bei der türkischen Dependance des Sicherheitsunternehmens SOCradar, fasste gegenüber heise Security zusammen, er sei auf Quellcode in verschiedenen Windows-Skriptsprachen von BAT bis PowerShell gestoßen, JSON- und Excel-Dateien und Quellcode in anderen Formaten. Zugangsdaten zu Datenbanken und geschützten APIs fanden die Forscher nicht nur in dafür vorgesehenen Konfigurationsdateien, sondern oft auch hartkodiert in Quellcode, etwa in Pythonskripten, die der Redaktion auszugsweise vorliegen. Auch in Batchdateien fanden sich Benutzernamen und Passwörter, etwa solche, die den Zugriff auf eine Microsoft-interne Docker-Container-Registry gestatten.
Insgesamt umfasste die offen zugängliche Datensammlung 1.138.558 Dateien. Über den Einsatzzweck der gefundenen Daten kann Yoleri nur spekulieren. Er vermutet im Gespräch, es handele sich um Daten, die Microsofts Suchmaschine Bing zuzuordnen seien, Microsoft habe sich ihm gegenüber aber nicht konkret dazu geäußert. Ob Dritte, möglicherweise Cyberkriminelle, ebenfalls auf den Storage-Blob zugegriffen haben, mag der Sicherheitsforscher nicht kommentieren.
Microsoft kommentiert zurückhaltend
In Redmond reagierte man reserviert auf den Fund. Als Yoleri und seine Kollegen sich Anfang Februar an das MSRC (Microsoft Security Response Center) wandten, bestätigte dieses zwar den Eingang und die Behebung des Datenlecks, bis dato warten die SOCradar-Mitarbeiter jedoch noch auf eine offizielle Danksagung auf Microsofts Sicherheitsseiten. Dort hat sich seit September vergangenen Jahres nichts mehr getan.
Gegenüber heise Security kommentierte ein Microsoft-Sprecher das Leck wie folgt: "Obwohl die Zugangsdaten nicht hätten zugänglich sein sollen, waren sie nur temporär, nur aus internen Netzwerken nutzbar und wurden nach dem Testen deaktiviert. Wir danken unseren Partnern, die dieses Sicherheitsproblem auf verantwortliche Art an uns gemeldet haben".
Das bestätigte Yoleri im Gespräch zumindest für einige seiner Stichproben, an anderer Stelle bestehe aus seiner Sicht noch Handlungsbedarf. So sei der betreffende Azure Storage Blob noch immer von außen zugänglich, wenn auch um besonders kritische Dateien bereinigt. Rückfragen von heise Security, ob Microsoft weitere Zugriffe auf die Daten festgestellt habe und wie der Konzern ähnliche Vorkommnisse künftig vermeiden wolle, konnte die Pressestelle nicht beantworten.
Das MSRC, die schnelle Sicherheits-Eingreiftruppe des Software-Riesen, klagt derzeit genauso wenig über Langeweile wie die PR-Abteilung in Redmond. Der Verlust eines Azure-Hauptschlüssels ist noch nicht vergessen, Cyberspione trieben ausgerechnet in Mailkonten des MSRC monatelang ihr Unwesen und die US-Cybersicherheitsbehörde CISA watschte den Konzern mit uncharmanten Worten wie "Kaskade vermeidbarer Fehler", "Versagen bei der Angriffserkennung" und "inkorrekte öffentliche Aussagen" in ihrem Untersuchungsbericht ab. Da kommt ein erneutes Datenleck sehr ungelegen.
Die Sicherheitsforscher haben sich Anfang Februar an MSRC gewandt, nicht, wie irrtümlich im Text behauptet, Anfang März. Zu diesem Zeitpunkt wurde das Problem durch Microsoft behoben. Wir haben die fragliche Stelle korrigiert.
(cku)