Immer wieder hört man das Argument von IT-Entscheidern:

"Microsoft bietet höchste Standards, insbesondere betreffend Datensicherheit."

Nein, nein, nein. Das ist falsch. Auch wenn man es gebetsmühlenartig wiederholt bleibt es falsch.

Um zukünftig nicht mehr alles von vorne erklären zu müssen, wenn ich solche Argumente höre, schreibe ich es hier auf. Dann kann ich zu diesem Blogpost verlinken. Los geht's:

Fehlkonfiguration bei Bing ermöglicht weltweiten Office365 Accountdiebstahl

März 2023, die Sicherheitsforscher von Wiz Inc. haben einen offenen Zugriff auf ein Microsoft-internes Content Management System gefunden. Über diesen Zugriff konnten Sie die Bing-Startseite anpassen und damit die Office365 Sessions von jeder Person abgreifen, die auf Bing etwas gesucht hat.

Storm-0558 - Zugriffe auf Exchange E-Mail Dienste von US-Regierungsbehörden und weiteren Betroffenen

Im Juli 2023 konnten vermutlich chinesische Angreifer (Storm-0558) einen Signaturschlüssel aus einem Crash-Dump extrahieren und damit auf diverse (Mail-)accounts in Microsofts Cloud zugreifen. Microsoft räumt in ihrem Results of Major Technical Investigations for Storm-0558 Key Acquisition-Report eigene Versäumnisse ein.

In Folge der Ereignisse hat dann auch ein einflussreicher US-Senator Microsoft kritisiert.

Midnight Blizzard - Zugriff auf interne Microsoft E-Mails

Im Januar 2024 waren es dann russische Angreifer (Midnight Blizzard / Cozy Bear / APT29), die sich über ein schlecht geschütztes Testkonto Zugriff auf die Microsoft Infrastruktur verschaffen konnten und dort mehrere Wochen interne Mails von Führungskräften und Mitarbeitern aus den Bereichen Cybersicherheit und Recht mitgelesen haben. Microsoft hat im Bericht an die Börsenaufsicht SEC erklärt, der Vorfall hätte keine Auswirkungen auf ihre Geschäftstätigkeit. Trotzdem zeigt sich, das Microsoft ihr eigenes System auch in diesem Fall zuwenig gut geschützt hatte:

• Der Zugang konnte über eine Password Spraying Attack erfolgen, das verwendete Passwort war also in einem Leak bereits bekannt.
• MFA war nicht aktiviert.
• Die Zugriffe wurden nicht überwacht

Das sind Standards in der IT-Sicherheit und sollten auch von Microsoft zwingend eingesetzt werden.

Global Entra ID via Actor Tokens

Auch 2025 bleiben wir nicht verschont. Der Sicherheitsforscher Dirk-jan Mollema hat bei der Vorbereitung auf seinen Vortrag bei der DEF CON eine Sicherheitslücke in der Microsoft Entra Authentifizierung gefunden, die er selbst als "the most impactful Entra ID vulnerability that I will probably ever find" bezeichnet hat.

Er konnte dabei einen Actor-Token dazu verwenden, sich als beliebiger Benutzer eines anderen Tenants, also auch als globalen Admin, anzumelden.

Das Beste dabei: Der Zugriff wurde dabei in seinem eigenen Tenant geloggt, nicht beim betreffenden Opfer. Dieses hat davon nichts gemerkt. Link zum entsprechenden Golem Beitrag Diese Lücke hat einen CVE Score von 10 erhalten. Bei einer Maximalpunktzahl von 10. Schlimmer geht also nicht mehr...

Fazit

Microsoft M365 / Azure / Entra ID ist nicht sicher.

Das weiss auch der ehemalige Cyber Policy Director des Weissen Hauses, der Microsoft im Interview mit The Register ein "nationales Sicherheitsrisiko" nennt.

M365 / Azure ist somit als gescheitert anzusehen und sollte aus Perspektive der IT-Sicherheit nicht produktiv eingesetzt werden.