(IT, die reale Welt und alle Volkswirtschaften) Jeder Hersteller eines Röntgengerätes, eines Autos, eines Verkehrsflugzeugs, eines komplexen Ampelsystems oder der Hersteller für die Steuerung eines Atomkraftwerks HAFTEN vollumfänglich für die Schäden, auch für die sekundären.
Und Microsoft? Verdient sich dumm und doof und haftet mit genau 0 $.
Kompromittierte Sharepoint-Server
Was die neue Microsoft-Schwachstelle so gefährlich macht.
Hacker nutzen eine neue Angriffsmethode, um massenhaft Server von Unternehmen und Behörden zu attackieren. Die Angreifer könnten sich unbemerkt schon in zahlreichen IT-Netzwerken wichtiger Organisationen festgesetzt haben.
Selbst, wer die Sicherheitslücke nun schnellstmöglich schließt, muss damit rechnen, dass sich die Angreifer bereits eine Back door geöffnet haben, über die sie auch weiterhin eindringen können. Auch die BSI-Experten warnen: »Alleiniges Patchen ist aufgrund der vorangegangenen Ausnutzung nicht ausreichend.«
Langfristige Risiken statt schneller Abstürze
Für Microsoft ist es ein Debakel in einer langen Reihe von Sicherheitsvorfällen, die auch offenbaren, wie zentral die Produkte des Unternehmens für die IT-Netze vieler Firmen sind.
Ein schlecht getestetes Update der IT-Sicherheitsfirma CrowdStrike brachte etwa vor einem Jahr 8,5 Millionen Windows-PCs und Zehntausende Server zum Absturz und die Arbeit in zahlreichen Betrieben zum Erliegen.
Das ist nach der aktuellen Attacke nicht zu erwarten. Die Server würden auch nach einem erfolgreichen Angriff weiterlaufen, doch mittelfristig kann der Schaden höher sein: Die Angreifer könnten sich nach einer erfolgreichen Kompromittierung mit höchsten Sicherheitsprivilegien einloggen, auch die mittlerweile weit etablierte Zwei-Faktor-Authentifizierung würde mitunter ausgehebelt.
Damit hätten die Hacker weitgehend freien Zugang. Sie sind nicht einmal darauf angewiesen, dass ein unvorsichtiger Mitarbeiter auf einen Link in einer Phishing-E-Mail klickt.
Aus deutschen Sicherheitskreisen heißt es daher, dass man die Schwachstelle sehr ernst nehme. Technisch sei die Lücke äußerst kritisch. Das BSI warnt, dass Sharepoint ein zentraler Zugangspunkt zu allerhand brisanten Informationen sein könne. »Die häufigen Verbindungen zu weiteren Microsoft-Diensten wie Outlook, Teams und OneDrive machen das Produkt zu einem attraktiven Ziel für Akteure«, heißt es in der offiziellen Hinweismeldung. Deutsche Behörden sind traditionell gute Microsoft-Kunden: Allein die Bundesverwaltung überwies dem Konzern 2023 fast 200 Millionen Euro.
Ob deutsche Behörden im Zuge des Angriffs gehackt wurden, ist derzeit nicht bekannt. Das Informationstechnikzentrum Bund erklärt zwar auf SPIEGEL-Anfrage, mehrere Sharepoint-Instanzen zu betreiben. Diese seien aber nicht aus dem Internet öffentlich erreichbar und somit nicht für den neuen Angriff anfällig.
Firma bei Dutzenden Instanzen Belege für eine erfolgreiche Infiltration. Nach aktuellen Informationen sollen allein in Deutschland 320 Server anfällig sein. Anders als beim eigenen Cloudangebot kann Microsoft die Lücke hier nicht selbst schließen.
Der Vorfall erinnert an eine Attacke von vermutlich chinesischen Angreifern, die im Sommer 2023 über gestohlene kryptografische Schlüssel 60.000 E-Mails des US-Außenministeriums abgeschöpft hatten.
Das von Präsident Joe Biden eingerichtete Cyber Safety Review Board warf Microsoft daraufhin eine »Kaskade vermeidbarer Fehler« vor, Konzernchef Satya Nadella gelobte Besserung und erklärte Sicherheit zur obersten Priorität.
Vorwarnung aus Berlin
Microsoft war vor der neuen Attacke zumindest teilweise gewarnt. Im Mai hatte der Sicherheitsforscher Dinh Ho Anh Khoa auf der Berliner Konferenz Pwn2Own eine erste Version des »Toolshell«-Angriffs demonstriert und so eine Prämie von 100.000 Dollar gewonnen. Dazu kombinierte er zwei für sich genommen relativ harmlose Sicherheitslücken, um die angegriffenen Systeme zu übernehmen. Bei der Demonstration ging es den Forschern darum, den Unternehmen bei der Verteidigung von Hackerangriffen zu helfen. Microsoft blieben nach der Vorführung 90 Tage Zeit, sich gegen die Attacke abzusichern, bevor Details veröffentlicht werden sollten.
Wie es weiterging, hat das Unternehmen Eye Security in seinem Blog festgehalten : Demnach stellte Microsoft zwar einige Sicherheitsupdates bereit, doch alsbald gelang es anderen Sicherheitsforschern, die neuen Sicherheitsmechanismen zu umgehen. Seit Freitag sollen Kriminelle für mindestens zwei Angriffswellen verantwortlich sein.
Als Eye Security daraufhin das Internet nach öffentlich erreichbaren Sharepoint-Servern absuchte, fand die Firma bei Dutzenden Instanzen Belege für eine erfolgreiche Infiltration. Nach aktuellen Informationen sollen allein in Deutschland 320 Server anfällig sein. Anders als beim eigenen Cloudangebot kann Microsoft die Lücke hier nicht selbst schließen.
Noch am Wochenende veröffentlichte Microsoft erste Warnungen, am Montag hat der Konzern Sicherheitsupdates bereitgestellt, die zumindest neue Angriffe unterbinden sollen. Administratoren werden aufgefordert, nach einem Aufspielen die Systeme zu überprüfen und die kryptografischen Schlüssel auszutauschen. Für die Version Microsoft Sharepoint Server 2016 fehlte bis zum Montagnachmittag aber weiterhin ein Sicherheitsupdate. Wenn die betroffenen Organisationen ihre Server nicht auf andere Weise schützen können, rät Microsoft dazu, die Server vom Internet zu trennen
Quelle
