Ein unzureichend gesichertes Testkonto ermöglichte Hackern den Zugang zu Microsofts internen E-Mails bereits Ende November 2023. Durch die Nutzung eines wenig geschützten Testkontos mit umfassenden Berechtigungen gelang es Angreifern, in das System des Software-Riesen einzudringen.
Die Gruppe hinter dem Angriff, bekannt unter Namen wie Midnight Blizzard, Nobelium, Cozy Bear oder APT29 und mutmaßlich mit Unterstützung des russischen Staates agierend, verschaffte sich durch einen sogenannten Password-Spraying-Angriff Zugang zu einem veralteten Test-Account, der nicht für die Produktion genutzt wurde. Microsoft gab an, dass es den Hackern daraufhin möglich war, einen kleinen Teil der Unternehmens-E-Mail-Konten einzusehen und Daten zu exfiltrieren. Betroffen waren Konten von Führungskräften und Mitarbeitern in den Bereichen Cybersicherheit und Recht.
Der Vorfall, entdeckt am 12. Januar, ließ die Angreifer über einen Zeitraum von ungefähr sechs Wochen unentdeckt in den Systemen agieren. Microsoft betonte im Blog Beitrag jedoch, dass keine Anzeichen für unbefugten Zugriff auf Kundendaten, Quellcode oder operative Systeme vorliegen und dass der Angriff nicht durch eine Schwachstelle in Microsoft-Produkten ermöglicht wurde. Die Ermittlungen zu dem Vorfall dauern noch an, während betroffene Mitarbeiter informiert werden.
In einem Bericht an die SEC teilte Microsoft mit, dass der Angriff bisher keine signifikanten Auswirkungen auf das Geschäft gehabt hat. Ob finanzielle oder betriebliche Konsequenzen zu erwarten sind, bleibt ungewiss.
Der Angriff wirft Fragen bezüglich Microsofts Sicherheitspraktiken auf. Das angegriffene Testkonto war scheinbar durch ein schwaches Passwort und das Fehlen einer Zwei-Faktor-Authentifizierung schlecht geschützt, zudem verfügte es über umfangreiche Zugriffsrechte. Dieses Sicherheitsleck ermöglichte es den Hackern, auf echte Mitarbeiterkonten zuzugreifen, auch wenn nur ein geringer Teil tatsächlich betroffen war.
Die zunehmend ausgeklügelten Methoden von Cyberkriminellen unterstreichen die Notwendigkeit, deren Verhaltensweisen genau zu analysieren. Empfehlungen für Unternehmen zur Verbesserung ihrer Cybersicherheit bieten unter anderem Berichte wie der Sophos Active Adversary Report. Midnight Blizzard, bekannt für den Sunburst-Angriff Ende 2020, gilt als erfahrene und gefährliche Hackergruppe mit Verbindungen zum russischen Auslandsgeheimdienst SVR.