Rapport VS: Microsoft had e-mailhack door Chinezen kunnen voorkomen

Microsoft had de cyberaanval waarbij Chinese hackers inbraken in de e-mailaccounts van verschillende bedrijven en West-Europese overheden kunnen voorkomen. Dat stelt de Amerikaanse Cyber Safety Review Board in een rapport.

Cybercriminelen uit China drongen via een kwetsbaarheid in de cloudservice van Microsoft binnen bij 22 organisaties, waaronder bedrijven en overheden, meldde Microsoft in juli vorig jaar. De aanvallers gebruikten daarbij een Microsoft-accountconsumerkey. In combinatie met een andere kwetsbaarheid in het authenticatiesysteem van Microsoft gaf die sleutel volledige toegang tot 'ieder Exchange Online-account, waar dan ook ter wereld', schrijft de Cyber Safety Review Board, onderdeel van het Amerikaanse ministerie van Homeland Security, in zijn rapport. Hoe de sleutel gestolen werd, is nog altijd niet bekend.

De Cyber Safety Review Board spreekt van een reeks vermijdbare fouten en vindt dat de gehele aanval voorkomen had kunnen worden. "Ook concludeert de Raad dat de beveiligingscultuur van Microsoft ondermaats was en een revisie nodig heeft." De Cyber Safety Review Board wijst onder meer op de beveiligingspraktijken van Microsoft, die zouden onderdoen voor die van de concurrentie. Ook hekelt de raad het feit dat Microsoft zelf niet inzag dat er een sleutel was gestolen en daarvoor vertrouwde op meldingen van een klant. Verder kon een gecompromitteerde laptop van een werknemer in 2021 verbinding maken met het zakelijk netwerk van Microsoft.

De Cyber Safety Review Board haalt daarnaast aan dat Microsoft lange tijd een verkeerde verklaring over het incident gaf aan het publiek. Het gaat onder meer om een blogpost uit september waarin Microsoft stelt dat de sleutel onderdeel was van een crash dump uit 2021. Die crash dump is echter nooit gevonden. De Cyber Safety Review Board neemt het Microsoft kwalijk dat het bedrijf al in november 2023 tegenover de Raad erkende dat de blogpost niet klopte, maar pas op 12 maart het bericht in kwestie aanpaste, nadat de Review Board hier vragen over stelde.

Microsoft kondigde afgelopen november aan dat het zijn softwarebeveiliging gaat verbeteren, schreef The Verge destijds. De Cyber Safety Review Board vindt echter dat de ceo en raad van bestuur zich direct moeten richten op de beveiligingscultuur van het bedrijf. Ook moeten zij publiekelijk een plan met een specifieke tijdlijn delen om fundamentele, op beveiliging gerichte hervormingen aan te brengen in het hele bedrijf en alle producten.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 04-04-2024 10:37
40 • submitter: eprillios

04-04-2024 • 10:37

40

Submitter: eprillios

Lees meer

VS: Chinese staatshackers hebben ministerie gehackt en documenten gestolen
VS: Chinese staatshackers hebben ministerie gehackt en documenten gestolen Nieuws van 31 december 2024
Microsoft: VS moet harder optreden tegen cyberaanvallen uit China en Rusland
Microsoft: VS moet harder optreden tegen cyberaanvallen uit China en Rusland Nieuws van 25 november 2024
Bloomberg: Microsoft verplicht werknemers in China om over te stappen op iPhones
Bloomberg: Microsoft verplicht werknemers in China om over te stappen op iPhones Nieuws van 8 juli 2024
Microsoft-topman Brad Smith erkent gemaakte fouten rondom beveiliging
Microsoft-topman Brad Smith erkent gemaakte fouten rondom beveiliging Nieuws van 14 juni 2024
FBI: laptop Belgische politicus gehackt door Chinezen
FBI: laptop Belgische politicus gehackt door Chinezen Nieuws van 25 april 2024
OM eist 20 maanden cel tegen hacker die bij data honderdduizenden mensen kon
OM eist 20 maanden cel tegen hacker die bij data honderdduizenden mensen kon Nieuws van 23 april 2024
Microsoft nam tien jaar geleden afscheid van Windows XP
Microsoft nam tien jaar geleden afscheid van Windows XP .Geek van 8 april 2024
Reuters: Hackers hebben tienduizenden e-mails van Amerikaans ministerie gestolen
Reuters: Hackers hebben tienduizenden e-mails van Amerikaans ministerie gestolen Nieuws van 28 september 2023
Microsoft: Chinese hackers stalen signingkey via crashdump en gehackt account
Microsoft: Chinese hackers stalen signingkey via crashdump en gehackt account Nieuws van 7 september 2023
NYT: Amerikaanse overheid controleert eigen IT-systemen op Chinese malware
NYT: Amerikaanse overheid controleert eigen IT-systemen op Chinese malware Nieuws van 30 juli 2023
Microsoft: hackers China braken in bij e-mailaccounts West-Europese overheden
Microsoft: hackers China braken in bij e-mailaccounts West-Europese overheden Nieuws van 12 juli 2023
Meer producten en artikelen
Beveiliging en antivirus Microsoft China Hack

Reacties (40)

-Moderatie-faq
40
40
27
2
0
7
Wijzig sortering
Zezura 4 april 2024 10:48
Goh, laten we alles in de organisatie overzetten op de cloud diensten van Microsoft (365) office/onedrive/sharepoint/teams. Vraag me af na het lezen van dit hoe slim het is.
BytePhantomX @Zezura4 april 2024 11:43
Dat is allemaal afhankelijk van de context van jouw organisatie. Ben je een overheid en verwerk je staatsgeheimen, dan mag je je afvragen of alles in de cloud zetten verstandig is, aangezien je weet dat partijen als China de interesse en mogelijkheden hebben om daarop in te breken.

Ben jij een mkb (groot of klein) dan is het tegenwoordig bijna niet meer te doen om zoiets als exchange veilig in de lucht te houden. Daar zijn in het verleden 0-days voor uitgekomen die actief zijn misbruikt voordat er een publieke patch was. Dan moet je als organisatie over de nodige capaciteiten beschikken om je daar tegen te kunnen verdedigen. En die dreiging is veel groter voor de meeste MKB'ers dan het nog steeds zeer kleine risico dat je gehackt wordt via Microsoft.
En om over de complexiteit zoals bijvoorbeeld videobellen op schaal nog maar niet te beginnen, om dat veilig en stabiel in te richten. Zie het recente voorbeeld met de Duitse defensie die een onpremises video oplossing gebruikten.

Daarnaast moet je als organisatie toch al extra maatregelen nemen als je bijvoorbeeld de inhoud van Exchange mail berichten wil beveiligen. Versleuteld e-mail is dan iets wat ik van harte zou adviseren en dan zou ik niet de standaard van Microsoft gebruiken, maar een eigen implemenatie, bijvoorbeeld PGP of een ander product met certifcaten op een hardware sleutel.

Het is veel te kort door de bocht om aan de hand van dit bericht te stellen dat de cloud voor de meeste bedrijven minder veilig is dan het zelf doen. Niettemin wel een aardige tik op de vingers voor Microsoft die blijkbaar security vooral als omzet generator zien en niet als core van hun business of als voorwaarde om uberhaupt zaken te mogen doen. In plaats van zaken veiliger maken verkopen ze liever extra producten om een klant veilig te maken. Concreet in dit geval, audit logging om dit te detecteren was een betaalde optie die daarna door druk van CISA gratis is gemaakt.

[Reactie gewijzigd door BytePhantomX op 23 juli 2024 17:30]

kodak
@BytePhantomX4 april 2024 14:52
Als we stellen dat mkb'ers, bedrijven en personen te veel moeite met de inhoud van professionele ict hebben dan kunnen we niet stellen dat hun argumenten en keuzes voor dit soort clouddiensten zomaar wel verstandig zijn. Eerder dat er aan getwijfeld kan worden.

Daarbij lees ik geen duidelijkheid of en hoe mkb'ers, bedrijven en personen een afweging maken. Wel lees ik regelmatig suggestieve voorkeuren of afkeer als onderbouwing. Terwijl dit nieuws weer duidelijk maakt dat ook een groot cloudbedrijf net zo goed hele risicovolle kenmerken heeft als bij de alternatieven. Het is dus eerder te kort door de bocht om clouddiensten het voordeel van de twijfel te gunnen.
Zeker als we bedenken dat mkb'ers, bedrijven en personen niet als enige alternatief het zelf doen hebben, de clouddiensten zijn immers een variant van uitbesteden. Men kan dus bij professioneel alternatief terecht zonder je eigen en andermans gegevens en controle naar de cloudbedrijven te verplaatsen.
BytePhantomX @kodak4 april 2024 15:03
Het zit hem m.i. vooral in je eigen risico analyse. Vind je dat je je zorgen moet maken om statelijke actoren en dat die zorgen hem zitten in bijvoorbeeld je e-mail, dan is dit een scenario waarmee je rekening moet houden. Mijn idee is echter dat dit voor weinig MKB'ers van toepassing is. En als het al op je van toepassing is, dan zijn er alternatieven die naar mijn idee beter geschikt zijn (zoals encryptie).

Waar de meeste MKB'ers zich echter wel druk om maken is Ransomware. En dan zit je met systemen als Exchange in je eigen datacenter of beheerd door een derde partij in lastig vaarwater. Die schaal van misbruik en de gevolgen zijn veel groter dan deze hack bij Microsoft: nieuws: Microsoft Exchange-zerodays leiden tot honderdduizenden infecties wer...
Als we stellen dat mkb'ers, bedrijven en personen te veel moeite met de inhoud van professionele ict hebben dan kunnen we niet stellen dat hun argumenten en keuzes voor dit soort clouddiensten zomaar wel verstandig zijn.
Praktijk is dat dit voor veel bedrijven een betere optie is. En niet ieder bedrijf heeft de mogelijkheid om IT echt goed te doen. Dan prijzen ze zichzelf uit de markt omdat een concurrent het wel goedkoper kan en het risico neemt dat het misschien een keer mis gaat. Juist dit soort overwegingen moeten organisaties maken. En nee, dan is cloud echt niet heilig en Microsoft al helemaal niet. Maar soms het beste wat een bedrijf kan kiezen.

Het is een genuanceerd verhaal en dit nieuwsbericht veranderd niet erg veel aan die nuance.

[Reactie gewijzigd door BytePhantomX op 23 juli 2024 17:30]

NoTechSupport @Zezura4 april 2024 11:01
Er zijn nadelen aan verbonden, maar alles zelf doen is in kleine organisaties onmogelijk, tenzij we veel meer gestandaardiseerd gaan werken waarbij het onderhoud automatisch gebeurt. We zijn daar in de praktijk totaal niet klaar voor.

Wat mij een beetje stoort is dat ook bijna alle organisaties met meer dan 1000 werknemers nu alles bij MS draaien. Vaak met het argument dat er dan minder kosten gemaakt worden, maar in de praktijk valt dat lelijk tegen. En als MS zegt dat de prijzen stijgen dan stijgen ze. Je kan al je data en processen in Teams en SharePoint onmogelijk migreren.
NatteKrant @NoTechSupport4 april 2024 11:21
Klopt, de vendor lock-in wordt steeds groter. En Microsoft hanteert tegenwoordig ook de strategie om sneaky edoch rechtstreeks naar de eindgebruiker te adverteren "wist je dat met premium XYZ blablabla".

Niet voor niks zijn we vanuit de EU dan ook benaderd met een enquete inzake the marketing en product strategie van Microsoft. Met andere woorden: ook vanuit europa wordt er fanatieker meegekeken naar de marktpositie en onwikkeling van MS.
Cyberpuppy @NatteKrant5 april 2024 17:12
Is leuk dat ze er naar kijken. Maar wat gaan ze doen dan? Ik blijf er bij. Het is wachten tot één van die grote partijen het aandurft om de stekker uit hun Europese diensten te trekken.
IngamerX @Zezura4 april 2024 10:57
Anderzijds, eenmaal gebeurd is dr organisatie wel wakker geschud. Dit is nu top prio bij microsoft dus er zal flink worden getimmerd.
jmsaow @IngamerX4 april 2024 11:02
Het was echt niet de eerste keer toch!
Blokker_1999
@jmsaow4 april 2024 11:15
Er zijn vele bedrijven die winst voorop stellen en liever fouten blijven maken.
Bux666 @IngamerX4 april 2024 11:09
De Cyber Safety Review Board neemt het Microsoft kwalijk dat het bedrijf al in november 2023 tegenover de Raad erkende dat de blogpost niet klopte, maar pas op 12 maart het bericht in kwestie aanpaste, nadat de Review Board hier vragen over stelde.
Top prio bij Microsoft? Ze zijn vooral bezig geweest om met valse beweringen ('sleutel' aanwezig in een crash dump die nooit gevonden is) de boel onder het tapijt te vegen. Als het top prio was, dan had het geen half jaar geduurd voordat alleen al een blogpost aangepast was. Ook nog na vragen hierover door de Review Board.

[Reactie gewijzigd door Bux666 op 23 juli 2024 17:30]

Blokker_1999
@Bux6664 april 2024 11:15
Maar de vraag blijft dus wel: waar komt de sleutel dan wel vandaan?
CivLord @Bux6664 april 2024 14:33
En wat is het belang van een blogpost aanpassen?

Een blogpost is een kort berichtje waar iets in wordt gemeld of uitgelegd en dat daarna door de hele wereld vergeten wordt.
Misschien werd op het moment dat de blogpost geschreven werd wel gedacht dat dat de meest waarschijnlijke verklaring was. En op het moment dat er meer duidelijkheid was, was die hele blogpost vergeten.
SillieWous @IngamerX4 april 2024 11:09
Waar baseer je dit op? Het is al vele malen gebleken dat beveiliging ergens onder aan het lijstje van Microsoft staat. Nummer een is snelle winst maken.
NatteKrant @SillieWous4 april 2024 11:22
Die vraag kunnen we hier ook stellen:

"Nummer een is snelle winst maken"

Waar baseer je dit op?
The Zep Man
@NatteKrant4 april 2024 11:37
Microsoft is een beursgenoteerd bedrijf. Winst maken zal altijd op plek één staan. Dat is immers wat men verwacht van een dergelijke organisatie. Alles is een kosten-batenanalyse.

Je kan uiteraard vraagtekens zetten bij het toevertrouwen van bepaalde maatschappelijke belangrijke zaken aan een enkele partij zoals Microsoft.
PageFault @The Zep Man4 april 2024 12:07
Alle concurrenten (voor zover daar sprake van is....) zijn ook beursgenoteerd en dus ook uit op winst maken als doel nummer 1.
NatteKrant @The Zep Man4 april 2024 12:29
Natuurlijk! Sterker nog, dat geldt ook voor een veel niet beursgenoteerde bedrijven.

Maar "snelle winst maken" impliceert in mijn oren iets heel anders namelijk: korte termijn resultaat prevaleert over de lange termijn resultaten. En daar geloof ik niet zo heel hard bij een bedrijf als MS. Ten eerste omdat ze het (nu) niet nodig hebben, en ten tweede dat de reputatieschade veel te groot is.

Maar mijn reactie was meer uitverbazing geboren. Vragen om onderbouwing en vervolgens zelf een onfundeerde stelling poneren.
McBurger @Zezura4 april 2024 11:56
Hoe veel organisaties zijn zelf capabel genoeg om hun eigen operations op een bepaald niveau te onderhouden en dan ook te beveiligen? En tegen welke kosten zal dat dan zijn?
Dat zijn de afwegingen die je maakt als je naar de cloud gaat.
Fermion @Zezura4 april 2024 11:02
Vraag me af na het lezen van dit hoe slim het is.
Het gaat bij-stop door. Kijk maar naar SIDN. Het gaat alleen om dat de management denkt dat dit de beste oplossing is.
CivLord @Zezura4 april 2024 14:35
Goh, laten we alles in de organisatie overzetten op de cloud diensten van Microsoft (365) office/onedrive/sharepoint/teams. Vraag me af na het lezen van dit hoe slim het is.
Ik vraag me af wat gegarandeerd slimmer is.
david-v 4 april 2024 10:50
De Cyber Safety Beoordeling Board wijst onder meer op de beveiligingspraktijken van Microsoft, die zouden onderdoen aan die van de concurrentie
Dat is best wel een heftige constatering. Over welke concurrenten hebben we het hier over? kantoor toepassingen? cloud? Voor zover ik weet hebben dat soort bedrijven allemaal een lijst vol certificeringen. Impliceert dit dat de certificeringen achter blijven bij de concurrenten? of dat juist de uitvoering daarvan achterblijft bij de concurrenten? meer vragen dan antwoorden :?
Fireshade @david-v4 april 2024 11:23
Over welke concurrenten hebben we het hier over?
In het summary rapport worden die niet bij naam genoemd, maar het gaat over een best practice die "standaard" wordt toegepast door Cloud Service Providers.
Uit het summary rapport:
"Taken together with the inadequate controls in the authentication system to detect and mitigate key theft after multiple attempts by the threat actor to compromise identity and authentication systems, including in Operation Aurora in 2009 and RSA SecureID in 2011—something that all other major CSPs have worked to address in their systems’ architectures—the Board finds that Microsoft had not sufficiently prioritized rearchitecting its legacy infrastructure to address the current threat landscape."
Blokker_1999
@david-v4 april 2024 11:13
Alsook: in welke mate doen zij onder voor de concurentie? Hoe groot was het gat toen het werd vastgesteld, hoe groot is het gat vandaag nog? En hoe vergelijken ze met industriestandaarden?

Na het lezen van dit artikel heb ik veel meer vragen dan antwoorden.
wica @david-v4 april 2024 11:18
the Board's assessment of security practices at other cloud service providers, which maintained security controls that Microsoft did not;
De bron lezen is best intressant.
david-v @wica4 april 2024 13:55
Dat snap ik heel goed, maar het artikel hier op Tweakers zou dat soort triviale vragen wel moeten beantwoorden en dat mis ik een beetje. Bron artikel zie ik meer als naslag werk om veel meer in details te treden, maar dit stukje informatie had ik ook graag in dit artikel willen zien. Vond het nogal een pittige uitspraak, vandaar. Meer vragen dan antwoorden ;)
mr. nice 4 april 2024 10:44
Erg naief van Microsoft.
Anoniem: 1839988 @mr. nice4 april 2024 11:00
Volgens mij niet de eerste keer dat MS hiermee laks is geweest.
graceful 4 april 2024 10:59
Het bizarre is dat dergelijke bedrijven zich schuilen achter certificaten en ISO controles, die meer papierwerk zijn (en blijken) dan dat ze werkelijk iets doen voor de data veiligheid.

Erg goed dat ze dit onderzochten en publiekelijk delen. Het zal helaas de laatste hack van dergelijke grote niet zijn, gezien we amper concurrentie hebben buiten de USA denkwijze. Helaas.
DdeM @graceful4 april 2024 11:20
Helaas niet alleen dergelijke bedrijven verschuilen zich achter certiciaten, ISO controles en andere papieren tijgers. Bijna alle (IT) bedrijven doen dit vroeg of laat. En meestal heeft het een negatief effect op de werkvloer omdat de (vaak door management) bedachte processen de uitvoer van werkzaamheden alleen maar frustreert. |:(
BytePhantomX @graceful4 april 2024 13:55
Dan heb je m.i. een verkeerd beeld van dit soort certificeringen. ISO 27001 zegt niets over het feit dat je ten allen tijde veilig bent.

Van de ISO website:
The ISO/IEC 27001 standard provides companies of any size and from all sectors of activity with guidance for establishing, implementing, maintaining and continually improving an information security management system.

Conformity with ISO/IEC 27001 means that an organization or business has put in place a system to manage risks related to the security of data owned or handled by the company, and that this system respects all the best practices and principles enshrined in this International Standard.
ISO zegt alleen dat je actief werkt aan cyber security risico's. En dat je daarvoor een managementsysteem hebt ingericht. Niets meer en niets meer. En dat is bijna voor alle compliance frameworks in Cyber Security het geval. Op basis van risico's die je zelf bepaalt, neem je maatregelen waarvan je zelf vind dat ze passend zijn om dat risico naar een acceptabel niveau te brengen.

De fouten die Microsoft hier heeft gemaakt zijn niet in een framework te vangen. Bijvoorbeeld, een laptop die gecompromitteerd was kon verbinding maken met het bedrijfsnetwerk. Voor dit soort frameworks zijn dat minor issues omdat 99,9% misschien wel op orde is. Vandaar denk ik ook dat er zo gehamerd wordt op de cultuur in de organisatie.

Overigens zal Microsoft wel aan veel strengere Amerikaanse standaarden moeten voldoen, maar ook die zullen niet naar dit detail niveau gaan.

[Reactie gewijzigd door BytePhantomX op 23 juli 2024 17:30]

Heloise 4 april 2024 11:37
Ik vind dit rapport grotendeels een open deur. Achteraf is het makkelijk praten en is er altijd wel iets te vinden dat misschien beter had gekund.

Bij werkelijk elke hack die bekend gemaakt wordt is zo’n verhaal te maken. Of het nu om hardware of software gaat, altijd is er onvoldoende nagedacht over zwakheden in de beveiliging. Eenvoudig omdat het te duur geacht werd, er onvoldoende opgeleide mensen aan gewerkt hebben, beveiliging geen, onvoldoende of pas achteraf, aandacht kreeg, er veel oude, niet goed onderhouden HW/SW componenten bij gebruikt werden, etc. etc.

Dit is dus niet (alleen) een Microsoft probleem en iets dergelijks gaat (nog veel) vaker voorkomen zolang de hele IT wereld dit niet verandert. En ja, dat zal veel tijd en geld kosten…

Tot dan kun je je er maar beter zelf zo goed mogelijk tegen “wapenen” door eigen informatie en data extreem zorgvuldig te behandelen en beheren.
McBurger @Heloise4 april 2024 12:05
Ik ben het deels met je eens wat betreft de open deur. Maar er staan echt wel recommendations in die erg interessant zijn. En waar elk bedrijf wat van leren.
Ik denk dat MS hier wel te veel schuld krijgt toegewezen. Van de 22 organisaties die (aantoonbaar) zijn bespioneerd was er slechts 1 die dat zelf heeft opgemerkt.
Maar goed, ik denk wel dat het rapport goed duidelijk maakt dat de grote cloud partijen een hele belangrijke rol moeten gaan spelen in de cyberdefence.
skatebiker 4 april 2024 10:51
Precies, die cloud is dus helemaal niet zo veilig.
Nu is het zo dat grote cloud providers (Microsoft, Google, Amazon, Apple iCloud) weliswaar zeer goed (?) beveiligd zijn, maar ook zeer populair bij hackers. Veel meer dan jouw thuisroutertje.
Benedykt @skatebiker4 april 2024 15:30
Wat heeft dat thuisroutertje te maken met een hele domme fout van de grootste CSP ter wereld? Even los van het feit dat die router hier überhaupt niets mee te maken heeft, want het lek zat niet in netwerktoegang, maar applicatietoegang door een niet roterende sleutel. :?
Fido 4 april 2024 10:58
Hoge bomen vangen nu eenmaal veel wind en zullen doelwit blijven van dergelijke aanvallen met bijbehorende risico's. Dit is de reden waarom ik clouddiensten zoveel mogelijk vermijd.
Aalard99 @Fido5 april 2024 09:46
Klopt, helemaal eens. Al is de keerzijde ook dat deze hoge bomen ook vaak extra onder een vergrootglas liggen op dit vlak. Als er iets niet goed is bij dit soort partijen komt het vrijwel altijd wel naar boven. Bij kleine bedrijven kan het best wel eens minder zichtbaar zijn als zaken niet op orde zijn.
wica 4 april 2024 11:18
En wie mag er ook al weer in zee gaan met Microsoft Azure... De Nederlandse overheid.
wiseger 4 april 2024 11:33
Een enkele sleutel gaf toegang tot alle Exchange Online-accounts van alle Microsoft klanten wereldwijd.

Zie hier het probleem met de cloud. Je kan als organisatie al je processen in orde hebben, als je cloud leverancier een sleutel heeft die toegang verlenen tot alle accounts wereldwijd, loop je dus enorme risico's.
SuperDre 4 april 2024 22:11
Achja, hindsight en beste stuurlui staan aan wal...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq