abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Microsoft: "China" mit Zugang zu Exchange Online (OWA) etc.

9
letzte Antwort am 13.07.2023 21:17:04 von janm
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
ch_h_
Aufsteiger
Offline Online

‎12.07.2023 15:49 zuletzt bearbeitet am ‎12.07.2023 15:50

Nachricht 1 von 10
434 Mal angesehen
Microsoft has mitigated an attack by a China-based threat actor Microsoft tracks as Storm-0558 which targeted customer emails. Storm-0558 primarily targets government agencies in Western Europe and focuses on espionage, data theft, and credential access. Based on customer reported information on June 16, 2023, Microsoft began an investigation into anomalous mail activity. Over the next few weeks, our investigation revealed that beginning on May 15, 2023, Storm-0558 gained access to email accounts affecting approximately 25 organizations including government agencies as well as related consumer accounts of individuals likely associated with these organizations. They did this by using forged authentication tokens to access user email using an acquired Microsoft account (MSA) consumer signing key. (...)

 

Microsoft investigations determined that Storm-0558 gained access to customer email accounts using Outlook Web Access in Exchange Online (OWA) and Outlook.com by forging authentication tokens to access user email. 

 

Automatisch auf die Schnelle übersetzt:

 

Microsoft hat einen Angriff eines in China ansässigen Bedrohungsakteurs entschärft, den Microsoft als Storm-0558 bezeichnet und der auf Kunden-E-Mails abzielte. Storm-0558 zielt in erster Linie auf Regierungsbehörden in Westeuropa ab und konzentriert sich auf Spionage, Datendiebstahl und Zugriff auf Anmeldeinformationen. Aufgrund der von Kunden gemeldeten Informationen begann Microsoft am 16. Juni 2023 mit einer Untersuchung der anomalen E-Mail-Aktivitäten. Im Laufe der nächsten Wochen ergab unsere Untersuchung, dass sich Storm-0558 ab dem 15. Mai 2023 Zugang zu E-Mail-Konten von etwa 25 Organisationen, darunter auch Regierungsbehörden, sowie zu entsprechenden Privatkonten von Personen verschaffte, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Sie taten dies, indem sie gefälschte Authentifizierungstoken verwendeten, um mit einem erworbenen Microsoft-Kontosignaturschlüssel (MSA) auf Benutzer-E-Mails zuzugreifen.

 (...)

 

Die Untersuchungen von Microsoft ergaben, dass Storm-0558 sich über Outlook Web Access in Exchange Online (OWA) und Outlook.com Zugang zu den E-Mail-Konten von Kunden verschaffte, indem er Authentifizierungstoken fälschte, um auf die E-Mails der Benutzer zuzugreifen. 

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

 

Quelle: https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/

 

Was lob' ich mir doch unseren "alten" Exchange on premise, der aus dem Internet nicht erreichbar ist.

Antworten
metalposaunist
Unerreicht
Offline Online

‎12.07.2023 16:05 zuletzt bearbeitet am ‎12.07.2023 16:06

Nachricht 2 von 10
420 Mal angesehen

@ch_h_ schrieb:

Was lob' ich mir doch unseren "alten" Exchange on premise, der aus dem Internet nicht erreichbar ist.

Dann habt Ihr also keine mobilen Geräte (iPad, iPhone, Laptop) im Einsatz bzw. stellt wie im DATEVnet erst ein VPN zum lokalen Exchange her?  

 

Und auch wenn der Exchange nicht in der Cloud steht, kann man nie sicher sein, welche Häcker schon wo waren. Guten Tag & vielen Dank sagen die wohl nämlich eher nicht 😅.

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de
0 Kudos
Antworten
ch_h_
Aufsteiger
Offline Online

‎12.07.2023 16:40 zuletzt bearbeitet am ‎12.07.2023 16:43

Nachricht 3 von 10
390 Mal angesehen

Jepp, nur VPN via Telearbeitsplatz bzw. DATEVnet Mobil. Halt die Datevlösungen, die sich bewährt haben.

Und ja, die hinterlassen keine Visitenkarte und sagen nicht guten Tag. Und daher würde mich nicht wundern, wenn es derartige Fälle noch viel häufiger gibt, von denen wir alle nichts wissen. Und diese Sache finde ich hier schon ziemlich heftig.

 

Der zentrale Honigtopf in Microsofts Cloud ist sehr interessant, weil sich dort alles bündelt. Ich stehe daher auf die dezentralen Lösungen, solange das möglich ist. Natürlich gepatcht und nicht mit direktem Zugang zum Internet. Kann man anders sehen, weiß ich. 😊

0 Kudos
Antworten
metalposaunist
Unerreicht
Offline Online

am ‎12.07.2023 17:00

Nachricht 4 von 10
372 Mal angesehen

@ch_h_ schrieb:

Ich stehe daher auf die dezentralen Lösungen, solange das möglich ist.

Du sprichst vom DATEV Ökosystemem, wo jeder ein bisschen was richtig kann aber es schwierig ist, wenn alles miteinander sprechen muss?  

 

Ökosystem - ich hassliebe dich...

viele Grüße aus dem Rheinland – Daniel Bohle
www.metalposaunist.de
0 Kudos
Antworten
boomboom
Meister
Offline Online

‎13.07.2023 20:16 zuletzt bearbeitet am ‎13.07.2023 20:22

Nachricht 5 von 10
298 Mal angesehen

das wird noch was ... wenn meinetwegen chinesische oder russische KI-Systeme erstmal auf die Clouds von MS, Google, aws usw. losgelassen werden.

 

datev zentralisierung (bis 1995?).. dezentralisierung (bis 2028?).. zentralisierung (bis 2035?).. dezentralisierung oder game over???

 

0 Kudos
Antworten
janm
Erfahrener
Offline Online

am ‎13.07.2023 20:34

Nachricht 6 von 10
282 Mal angesehen
@boomboom  schrieb:

das wird noch was ... wenn meinetwegen chinesische oder russische KI-Systeme erstmal auf die Clouds von MS, Google, aws usw. losgelassen werden.

Und wenn meinetwegen die chinesischen oder russischen KI-Systeme erstmal auf alles außerhalb der "Hyperscaler" losgelassen werden (und nahezu niemand kriegt es mit). 😉

Antworten
boomboom
Meister
Offline Online

am ‎13.07.2023 20:36

Nachricht 7 von 10
278 Mal angesehen

das ist too much... ressourcenverschwendung.. aber auch möglich.. klar

0 Kudos
Antworten
janm
Erfahrener
Offline Online

am ‎13.07.2023 20:40

Nachricht 8 von 10
272 Mal angesehen

Oder ist es dann ein Sammeln von Ressourcen (, um mit mehr als 2,54 Tbps "zu feuern" oder sonstige Dinge zu tun)? 😉

Antworten
boomboom
Meister
Offline Online

am ‎13.07.2023 20:48

Nachricht 9 von 10
268 Mal angesehen

dann sind die aber weniger an daten interessiert 😉

0 Kudos
Antworten
janm
Erfahrener
Offline Online

am ‎13.07.2023 21:17

Nachricht 10 von 10
257 Mal angesehen

"oder sonstige Dinge tun"

 

  • Zugangsdaten sammeln
  • E-Mail-Adresse / -Kommunikation sammeln
  • Dokumente analysieren / sammeln
  • "Lateral Movement" 2.0 (oder 4.0)?
  • ...
  • Still und heimlich Buchhaltungen führen und Jahre abschließen 😉

 

Muss man aber überhaupt so dick auffahren? Solange unglückliche Mitarbeiter von innen attackieren oder die eigenen Zugangsdaten (von privilegierten Konten) verkauft werden..

Antworten
  • Erster Beitrag Zum ersten Beitrag
  • Letzter Beitrag Zum letzten Beitrag
    • 9
    letzte Antwort am 13.07.2023 21:17:04 von janm
    Dieser Beitrag ist geschlossen
    0 Personen hatten auch diese Frage
    avatar rank icon
    Rang:
    Status:offline
    Mitglied seit:
    Zum Profil