Senf dazu: Microsofts "vorbildlicher" Umgang mit SharePoint-Desaster

Offen, transparent, vorbildlich? Das war das erste Bild, das Microsoft nach dem Bekanntwerden der fatalen SharePoint-Schwachstelle abgab. Doch inzwischen ist klar, der Konzern wusste seit Wochen von der Sicherheitslücke.
Winfuture, Kommentar, Senf dazu

Transparenz sieht anders aus

Denn anstatt entschlossen zu handeln, veröffentlichte Microsoft Mitte Juli lediglich einen Patch, der - wie sich jetzt zeigt - das Problem nur unzureichend löste. Die Folge ist eine neue Angriffswelle auf Unternehmens- und Behördensysteme, darunter laut Recherchen der Nachrichtenagentur Reuters hochrangige, sensible Infrastrukturen in Europa und den USA. Dabei handelt es sich bei der Sharepoint-Schwachstelle nicht um eine triviale Sicherheitslücke, sondern um einen massiven Kontrollverlust über zentrale Zugriffssysteme.

Dass Microsoft nun hektisch nachlegt und es viele Informationen zu dem Thema in den Medien gibt, mag auf den ersten Blick professionell wirken. Doch beim genauen Hinsehen zeigt sich: Die Kommunikation war träge, das Krisenmanagement schwerfällig, und für bestimmte SharePoint-Versionen steht bis heute kein Patch bereit.


Noch problematischer: Während sich Angreifer bereits durch die Systeme bewegten, wurden Admins großer Unternehmen und öffentlicher Einrichtungen nur zögerlich informiert und teils zur selben Zeit wie die breite Öffentlichkeit. Das ist kein Zeichen von transparenter Krisenkommunikation, sondern ein Warnsignal. Denn wer den Betroffenen keine Zeit zum Reagieren gibt, der minimiert nicht den Schaden, sondern potenziert ihn.

Was war passiert?

Die Microsoft-Software SharePoint dient dazu, firmeninterne Dateien, wie Präsentationen, Pläne oder sensible Personaldaten, auf Servern zentral zu speichern und zu verwalten.

Dementsprechend erhalten auch nur berechtigte Personen Zugriff. Doch eine Lücke in der Au­then­ti­fi­zie­rungs­prü­fung machte genau das fraglich. Hacker konnten sich ohne gültige Zugangs­daten Zugriff verschaffen, sie umgingen alle Sicher­heits­maß­nahmen und führten quasi einen digitalen Wohnungs­einbruch durch die sperrangelweit offenen Haustür durch.

Warum das ein bleibendes Problem ist

Betroffen sind potenziell zehntausende Organisationen weltweit, darunter laut Medienberichten auch wichtige Energieversorger, Universitäten und Behörden. Private Nutzer sind zwar nicht direkt gefährdet, doch auch ihre Daten, zum Beispiel in Form von Kundendaten, könnten über die Sicherheitslücke offengelegt werden.

Warnung vom Bundesamt für Sicherheit in der Informationstechnik BSI: Angreifern ist es nach aktuellen Erkenntnissen gelungen, die mit dem Juli-Patchday etablierten Schutzmaßnahmen zu umgehen, sodass die bereits veröffentlichten Sicherheitsupdates nicht mehr ausreichen und eine Installation der Notfall-Updates unbedingt notwendig wird. Eine erfolgreiche Ausnutzung der öffentlich als "ToolShell" bekannten Schwachstellen ermöglicht einem Angreifer MachineKey-Konfigurationsdetails von verwundbaren SharePoint-Servern zu erlangen. Des Weiteren ermöglichen sie Angreifern den vollen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen sowie die Ausführung von Code.

Kein Zeitvorsprung

Besonders unschön bei der Krisenkommunikation von Microsoft fällt nun auf, dass Administratoren großer Organisationen teils erst über Medienberichte vom Ausmaß der Lücke erfuhren. Zudem wird zu Recht kritisiert, dass Microsoft das Problem vielleicht wieder einmal on Anfang an nicht ernst genug nahm.

Was meint ihr: Sollten Tech-Giganten wie Microsoft gesetzlich stärker verpflichtet werden, IT-Sicherheitslücken sofort und nachvollziehbar offenzulegen? Oder bleibt es ein Spiel mit ungleichen Karten - bei dem am Ende immer die anderen verlieren?

Zusammenfassung
  • Microsoft veröffentlichte unzureichenden Patch für kritische SharePoint-Lücke
  • Angreifer konnten Authentifizierung umgehen und unbefugten Zugriff erlangen
  • Zehntausende Organisationen weltweit betroffen, darunter kritische Infrastruktur
  • Kritik an träger Kommunikation und mangelhaftem Krisenmanagement des Konzerns
  • Administratoren wurden zu spät informiert und erfuhren teils aus Medienberichten
  • Für bestimmte SharePoint-Versionen existiert bis heute keine Sicherheitslösung
  • Frage nach stärkeren gesetzlichen Verpflichtungen für Technologiekonzerne

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!