Der Firewallhersteller Sonicwall meldet einen Einbruch in Cloud-Konten seiner Kunden. Dabei haben Unbekannte Sicherungskopien von Firewallkonfigurationsdateien unerlaubt vervielfältigt und exfiltriert. Es handelt sich jedoch nicht um einen Cyberangriff auf Sonicwall, sondern offenbar um massenhaftes Durchprobieren von Zugangsdaten.

Wie Sonicwall ermittelt hat, haben die Angreifer bei weniger als fünf Prozent der Kunden Cloud-Konfigurationsdateien entwendet. Zwar sind in diesen jegliche Passwörter „verschlüsselt“, so der Hersteller (gemeint ist wohl, dass sie gehasht abgespeichert werden), doch könnten weitere Informationen spätere Angriffe auf die Firewalls erleichtern.

Nicht alle Sonicwall-Kunden betroffen

Die unbekannten Datendiebe haben sich weder mit einer Lösegeldforderung gemeldet noch ihre Beute in den üblichen Leak-Foren angeboten, beruhigt Sonicwall seine Kunden. Dennoch sollten diese zur Vorsicht überprüfen, ob sie betroffen sein könnten. Ein ausführlicher Leitfaden hilft bei der Feststellung und Beseitigung möglicher Risiken.

Über den genauen Hergang der Angriffe schweigt der Hersteller sich aus. Auch findet sich in den Sicherheitshinweisen keine Erklärung, wessen Zugangsdaten massenhaft – und offenbar bisweilen erfolgreich – durchprobiert worden seien. Infrage kommen nicht nur Kundenkonten, sondern auch die Zugänge von Sonicwall-Mitarbeitern oder -Partnern.

Erst vor wenigen Wochen wurden großangelegte Angriffe auf Sonicwall-Firewalls bekannt, die eine längst behobene Sicherheitslücke ausnutzten. Offenbar hatten reichlich Firewall-Administratoren die Aktualisierungen nicht eingespielt, was sie anfällig für Angriffe unter anderem der Ransomwaregruppe Akira machte.

(cku)

Microsofts Identitäts- und Zugriffsverwaltungsdienst Entra ID war kaputt. Angreifer hätten mit vergleichsweise wenig Aufwand an einer „kritischen“ Sicherheitslücke ansetzen können. Davon waren global alle Entra-ID-Tenants betroffen. Microsoft hat die Schwachstelle im Juli dieses Jahres geschlossen. Nun führt ein Sicherheitsforscher Hintergründe zur Lücke aus.

Durch das erfolgreiche Ausnutzen der Schwachstelle war ein Admin-Zugriff auf beliebige Tenants möglich. Weil weltweit unter anderem große Unternehmen Entra ID nutzen, hätten Attacken weitreichende Folgen haben können.

Hintergründe

In einem ausführlichen Beitrag erläutert ein Sicherheitsforscher von Outsidersecurity das Sicherheitsproblem. Er gibt an, die „kritische“ Schwachstelle (CVE-2025-55241) mit Höchstwertung (CVSS Score 10 von 10) im Juli dieses Jahres entdeckt und umgehend an Microsoft gemeldet zu haben. Er schreibt, dass Microsoft die Schwachstelle innerhalb weniger Tage geschlossen hat. Dafür mussten Entra-ID-Tenants nichts tun. Offensichtlich wurde das Problem serverseitig gelöst.

Um die Lücke auszunutzen, mussten Angreifer aber die Tenant-ID und die NetID eines Nutzers kennen. Doch beides lässt sich dem Forscher zufolge mit vergleichsweise wenig Aufwand herausfinden. Dass das keine so große Hürde sein kann, unterstützt auch die kritische Einstufung der Schwachstelle.

Kombinierter Angriff

Dem Sicherheitsforscher zufolge fußt eine Attacke auf zwei Grundlagen: Der erste Ansatzpunkt ist ein undokumentierter Token zur Identitätsfeststellung mit der Bezeichnung „Actor Token“. Diesen nutzt Microsoft in seinem Backend für Service-to-Service-Kommunikation.

Die zweite Komponente ist die eigentliche Schwachstelle in der Azure AD Graph API (Legacy), die solche Tokens nicht ausreichend überprüft. Demzufolge hätten sich Angreifer damit ausgerüstet als Admin für beliebige Tenants ausgeben können. Der Sicherheitsforscher führt aus, dass diese Tokens aufgrund ihrer Beschaffenheit an allen Sicherheitsrichtlinien vorbeischlüpfen, sodass es keine Gegenmaßnahme gab.

Nach erfolgreichen Attacken hätten Angreifer vollen Zugriff auf Entra-ID-Tenants gehabt. So hätten sie unter anderem persönliche Informationen und BitLocker-Schlüssel einsehen und die volle Kontrolle über Services wie SharePoint Online erlangen können. Erschwerend kommt hinzu, dass ein Angreifer mit einem Actor Token keine Spuren in Logs hinterlässt.

Microsoft gibt an, dass ihnen keine derartigen Attacken bekannt sind. Der Sicherheitsforscher führt in seinem Bericht weitere technische Hintergründe aus. In einer Warnmeldung listet Microsoft weitere Details auf.

(des)

In Episode 143 des c’t-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich gemeinsam mit Professor Dr. Alexander Golland drei wichtigen Entscheidungen des Europäischen Gerichtshofs, alle drei aus dem laufenden Monat September. Golland, Professor für Wirtschaftsrecht an der FH Aachen, ordnet die teils verwirrenden Urteile ein und erklärt deren praktische Auswirkungen.

Im Mittelpunkt steht zunächst die Klage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datentransfer, dem wiederum das EU-US Data Privacy Framework zugrunde liegt. Latombe wollte den Beschluss für nichtig erklären lassen. Das Europäische Gericht (EuG) wies die Klage ab, damit bleibt er als Rechtsgrundlage bestehen. Golland erläutert, warum das Gericht nur prüfte, ob die Kommission 2023 bei Erlass des Beschlusses korrekt handelte, nicht aber die heutige Situation unter veränderten politischen Vorzeichen bewertete.

Detailfragen bleiben offen

Besonders praxisrelevant ist das SRB-Urteil des EuGH zur Pseudonymisierung. Die zentrale Frage: Sind pseudonymisierte Daten für Empfänger, die selbst (ohne Dritte) keinen Personenbezug herstellen können, anonym, oder bleiben sie personenbezogen? Der EuGH bestätigt in dem Revisionsverfahren zwar den sogenannten „subjektiven Ansatz“ – es kommt auf die Möglichkeiten des Empfängers an –, lässt aber entscheidende Detailfragen offen. Golland kritisiert die fehlende Rechtssicherheit: Unternehmen wissen weiterhin nicht genau, ob sie für solche Datenübermittlungen Auftragsverarbeitungsverträge benötigen. Die Richter machten wenig Vorgaben und verwiesen auf die Einzelfallprüfung. „Steine statt Brot“, resümiert Professor Golland.

Fall drei dreht sich um den immateriellen Schadenersatz. Ein Bewerber hatte gegen die Quirin-Privatbank geklagt, weil sensible Angaben versehentlich an einen Dritten gingen. Der EuGH bestätigte: Auch Ärger oder Schamgefühle können ein Schaden im Sinne der DSGVO sein. Ein Nachweis bleibt aber schwierig. Beim Thema Unterlassung urteilten die Richter restriktiv: Einen originären Unterlassungsanspruch sieht die DSGVO nicht vor. Allerdings könne das nationale Recht solche Ansprüche zulassen, hierzulande beispielsweise über das Wettbewerbsrecht. Für die Praxis bedeutet das: Betroffene müssen künftig eher auf das allgemeine Persönlichkeitsrecht zurückgreifen.

Die Diskutanten zeigen sich ein wenig frustriert über die mangelnde Klarheit der Urteile. Statt eindeutiger Vorgaben liefern die Gerichte oft nur die klassische Juristen-Antwort: „Es kommt darauf an.“ Für Unternehmen und Betroffene bedeutet das weiterhin erhebliche Rechtsunsicherheit bei alltäglichen Datenverarbeitungen.

Episode 143:

Hier geht es zu allen bisherigen Folgen:

(hob)