Ab Mitte Mai 2023 haben Hacker Zugriffe auf E-Mail-Konten von Microsoft-Kunden erlangt. Diese stammen vermutlich aus China und werden von Microsoft als "Storm-0558" bezeichnet. Sie sollen sich auf Spionage und Datendiebstahl bei Regierungsbehörden vor allem in Westeuropa fokussieren. Rund 25 Organisationen seien zum Ziel geworden, darunter laut Berichten das US-Handels- und das Aussenministerium.

Der Sicherheitsberater von US-Präsident Joe Biden, Jake Sullivan, erklärte am 17. Juli gegenüber 'CNN': "Ich betone, es waren nicht klassifizierte E-Mail-Konten, also erhielten sie keine Geheiminformationen." Er machte keine Angaben zum Hintergrund der Angreifer.

Sullivan betonte, dass die Hacker den Zugang über Cloud-Dienste von Microsoft erhalten hätten. "Wir haben den Angriff entdeckt, ihn schnell abgeschaltet und nun Massnahmen ergriffen, um sicherzustellen, dass es sich nicht um eine ständige Sicherheitslücke handelt."

Microsoft erklärte: "(Die Angreifer) taten dies, indem sie gefälschte Authentifizierungs-Tokens verwendeten, um mit einem erworbenen Microsoft-Kontosignaturschlüssel (MSA) auf Benutzer-E-Mails zuzugreifen." Im letzten Blogbeitrag zum Vorfall vom 14. Juli gab der Konzern an, noch nicht zu wissen, wie die Hacker an den Signaturschlüssel gelangten. Dessen Nutzung sei aber blockiert und betroffene Systeme gehärtet worden.

Wie 'Ars Technica' schreibt, könnte am Ursprung auch eine Zero-Day-Lücke bei Microsoft stehen. "Eine verständliche Zusammenfassung des Ereignisses scheint zu lauten: Microsoft hat drei Schwachstellen in seinem Cloud-Dienst behoben, die entdeckt wurden, nachdem Storm-0558 sie ausgenutzt hatte, um Zugriff auf Kundenkonten zu erhalten."