Bericht: Hacker knackten 2013 Microsofts Bug-Tracking-Datenbank

Sie enthält auch Details zu ungepatchten kritischen Sicherheitslücken. Microsoft stopft die Löcher in den folgenden Monaten, ohne jedoch Kunden und Behörden zu informieren. Inzwischen soll die Datenbank vom Unternehmensnetzwerk getrennt sein.

Microsoft wurde 2013 offenbar das Opfer eines Hackerangriffs. Das berichtet die Agentur Reuters unter Berufung auf fünf ehemalige Microsoft-Mitarbeiter. Das Unternehmen hielt den Einbruch demnach geheim, weil nur ein internes System betroffen war: die Bug-Tracking-Datenbank, in der zu behebende Fehler in Microsoft-Software eingetragen werden.

Microsoft-Schild vor Gebäude 99 des Redmond-Campus (Bild: Microsoft)Die Datenbank enthielt somit auch Beschreibungen von als kritisch einzustufenden Sicherheitslücken in Microsoft-Produkten wie dem Betriebssystem Windows. Solche Details sollten bei Hackern und Spionen weltweit sehr begehrt sein, öffnen sie doch unter Umständen Hintertüren in eigentlich gut abgesicherte IT-Systeme von Behörden, Unternehmen und Organisationen.

Unabhängig voneinander erklärten die ehemaligen Mitarbeiter, Microsoft habe die Bugs innerhalb weniger Monate nach dem Einbruch beseitigt. Bis dahin hätten die gestohlen Daten jedoch für Microsoft-Kunden eine nicht unerhebliche Gefahr dargestellt. Laut Reuters waren auch US-Behörden nicht in den Vorfall eingeweiht.

Microsoft habe sich nach dem Einbruch in seine Systeme zudem Angriffe auf andere Organisationen in seiner Umgebung genau angeschaut. Dabei seien keine Hinweise darauf entdeckt worden, dass die Microsoft gestohlenen Daten für diese Attacken benutzt wurden. Zwei der fünf Mitarbeiter erklärten, das Microsoft weiterhin zu dieser Aussage stehe. Die anderen drei schätzten die zugrundeliegende Studie aufgrund zu weniger Daten als unzureichend ein.

Außerdem habe der Softwarekonzern nach dem Vorfall zusätzliche Sicherheitsmaßnahmen eingeführt. Der Bug-Tracker sei nun vom Unternehmensnetzwerk getrennt. Zudem würden für den Zugang nun zwei zusätzliche Authentifizierungen benötigt.

„Bösewichte mit Zugang zu solchen Informationen hätten tatsächlich einen Generalschlüssel für Millionen Computer weltweit“, sagte Eric Rosenbach im Gespräch mit Reuters, der als stellvertretender Verteidigungsminister zu dem Zeitpunkt für die Cyberabwehr zuständig war.

Microsoft wollte sich auf Nachfrage von Reuters nicht zu dem Vorfall äußern. In einer E-Mail hieß es lediglich, man überwache aktiv Cyberbedrohungen, um Prioritäten festlegen und geeignete Schritte zum Schutz von Kunden ergreifen zu können.

Dass Details zu Zero-Day-Lücken in den falschen Händen erhebliche Folgen haben können, zeigte zuletzt die Ransomware WannaCry. Sie basiert auf einem Exploit, der dem US-Auslandsgeheimdienst NSA gestohlen wurde. Die Schadsoftware legte im Frühjahr Computersysteme weltweit lahm. Einfallstor war allerdings eine zu dem Zeitpunkt bereits gepatchte Sicherheitslücke in Windows – die hohe Verbreitung von WannaCry wurde also auch durch das zögerliche Einspielen von wichtigen Sicherheitsupdates vor allem in Unternehmen begünstigt.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Datendiebstahl, Hacker, Microsoft, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Bericht: Hacker knackten 2013 Microsofts Bug-Tracking-Datenbank

Kommentar hinzufügen
  • Am 18. Oktober 2017 um 13:44 von C

    Dieses MS-Verhalten setzt die User-Feindliche Einstellung seit Vista nur fort.

    Anstatt zu informieren und die Leute von den Zero-Day´s zu warnen bzw. Patches zu liefern, wird alles vertuscht. Ohne Konsequenzen – natürlich.

    MS gehört von den Rechnern verbannt. Privat, Behörde & Firmen müssen andere Plattformen nutzen, wollen sie die Daten schützen.

  • Am 18. Oktober 2017 um 11:38 von hugo

    Sowas ist wie Fahrerflucht zu bewerten und gehört bestraft!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *