Proxylogon: Microsofts skandalöser Umgang mit den Exchange-Lücken

Wenn gefährliche Lücken aktiv ausgenutzt werden, darf es nicht Wochen dauern, bis ein Sicherheitsupdate bereitsteht.

Ein IMHO von veröffentlicht am
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt.
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt. (Bild: Mate Chris Desmond, US Navy, Wikimedia Commons)

Sicherheitslücken, die zu vielen kompromittierten Systemen führen, sind in der aktuellen IT-Landschaft keine Seltenheit. Doch die Vorkommnisse um die jüngsten Exchange-Sicherheitslücken mit dem Namen Proxylogon sind keine gewöhnliche Geschichte über IT-Sicherheitslücken. Hier ist etwas passiert, das ansonsten äußerst selten vorkommt: Eine Remote-Code-Execution-Lücke wurde bereits wochenlang massenhaft ausgenutzt, bevor ein Sicherheitsupdate zur Verfügung stand.

Stellenmarkt
  1. Full Stack Java Software Developer (m/w/d)
    NOVENTI Health SE, Lübeck (Home-Office möglich)
  2. IT Netzwerk-Ingenieur (m/w/d)
    Techniker Krankenkasse, Hamburg
Detailsuche

Einer der wichtigsten Ratschläge in Sachen IT-Sicherheit - möglicherweise der wichtigste überhaupt - lautet bekanntlich: Software aktuell halten. Wer Aktualisierungen und insbesondere Sicherheitsupdates regelmäßig installiert, ist vor vielen Bedrohungen geschützt.

Updates installieren hilft - meistens

Dieser Ratschlag gilt natürlich nach wie vor. Updates schützen und sollten für alle, die Infrastruktur im Internet betreiben, selbstverständlich sein. Angriffe mit sogenannten Zero-Days, also mit Sicherheitslücken, die bisher nicht öffentlich bekannt sind, kommen zwar vor, sind aber deutlich seltener und meist gezielt.

Das ist es, was die Proxylogon-Lücken so beunruhigend macht: Administratoren, die im Grunde nichts falsch gemacht und alle Sicherheitsupdates zeitnah installiert haben, wurden massenhaft Opfer von erfolgreichen Angriffen. Und dafür verantwortlich ist Microsoft, denn dort hat man sich mit der Korrektur der Lücke viel zu lange Zeit gelassen - selbst dann noch, als Microsoft von den Angriffen wusste.

Golem Akademie
  1. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
Weitere IT-Trainings

Der Journalist Brian Krebs hat den zeitlichen Ablauf der Vorgänge bereits vor einer Woche nachgezeichnet. Demnach wurde Microsoft am 5. Januar von der Firma Devcore über die Exchange-Lücken informiert. Am 2. Februar informierte auch die Firma Veloxity Microsoft darüber, dass es aktive Angriffe auf Exchange-Server gibt.

Spätestens Anfang Februar wusste Microsoft also definitiv, dass die Hütte brennt. Trotzdem dauerte es noch einen weiteren Monat, bis Microsoft am 2. März ein Sicherheitsupdate bereitstellte. Das ist schlicht skandalös: Microsoft ließ die Angreifer wochenlang gewähren, ohne seine Kunden zu schützen.

War ein Leak für Angriffe verantwortlich?

Inzwischen wird über eine noch viel beunruhigendere Möglichkeit spekuliert: Microsoft selbst könnte die Angreifer unabsichtlich mit Exploits versorgt haben. Auf Ars Technica wies der Journalist Dan Goodin vor einigen Tagen darauf hin, dass etwas an den Angriffen sehr ungewöhnlich sei: Offenbar haben zahlreiche verschiedene Gruppen die Lücke bereits ausgenutzt, bevor die Informationen öffentlich bekannt waren.

Das Wallstreet Journal berichtete nun, dass der Grund dafür sein könnte, dass Microsoft Informationen über Sicherheitslücken und zugehörige Exploits vorab mit zahlreichen IT-Sicherheitsfirmen teilt. Im sogenannten Microsoft Active Protections Programm (MAPP) sind etwa 80 Firmen, die der Konzern in solchen Fällen informiert.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dass in Disclosure-Prozessen Informationen von Beteiligten missbraucht oder auch versehentlich an Unberechtigte weitergegeben werden können, ist nicht überraschend. Klar ist: Je mehr Personen vorab informiert werden und je länger ein solcher Prozess dauert, umso wahrscheinlicher ist ein solches Leak.

Geschwindigkeit zählt

Leider herrscht bei vielen Firmen noch die Haltung vor, dass es normal ist, sich wochen- oder monatelang mit einem Sicherheitsupdate Zeit zu lassen. Viele werden sich etwa noch daran erinnern, dass im vergangenen Frühjahr zahlreiche Institutionen durch eine Lücke in Citrix-Geräten gehackt wurden. In dem Fall hatte Citrix die Lücke bereits im Dezember selbst bekannt gemacht, aber erst viele Wochen später ein Sicherheitsupdate bereitgestellt. Zwischendurch gab es lediglich eine Anleitung für einen Workaround, der allerdings in einigen Fällen nicht zuverlässig funktionierte.

Bei der heutigen Bedrohungslage in Sachen IT-Sicherheit wird Geschwindigkeit immer wichtiger. Wenn es um besonders kritische Sicherheitslücken geht - und kritischer als eine Remote-Code-Execution-Lücke auf Servern geht es kaum - dann müssen Firmen in der Lage sein, ihre Kunden zeitnah mit Updates zu versorgen. Release-Prozesse und Tests müssen soweit automatisiert werden, dass sie auch in kurzer Zeit durchführbar sind. Das muss in wenigen Tagen möglich sein, in Notfällen auch innerhalb von Stunden. Produkte von Firmen, die dazu nicht in der Lage sind, kann man im Grunde genommen nicht guten Gewissens auf öffentlich erreichbaren Servern einsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


unbekannt. 15. Apr 2021

Es beschleicht einen das Gefühl, dass es gar nicht darum ging, das herauszufinden...

TW1920 16. Mär 2021

Liegt daran, dass bei Exchange z.B. CUs die vorherigen Patche beinhalten... Man kann die...

Michael H. 16. Mär 2021

Ah ok, das ändert natürlich ein wenig. Nvm

dsafsdf 16. Mär 2021

du meinst sicherlich den hier: nvd dot nist dot gov/vuln/detail/CVE-2021-27365 und du...



Aktuell auf der Startseite von Golem.de
Giga Factory Berlin
Warum Tesla auf über eine Milliarde Euro verzichten musste

Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
Artikel
  1. Elektroauto: Mercedes EQS 350 als Basisversion mit 90-kWh-Akku bestellbar
    Elektroauto
    Mercedes EQS 350 als Basisversion mit 90-kWh-Akku bestellbar

    Die Luxuslimousine Mercedes EQS kostet weniger als 100.000 Euro. Im EQS 350 steckt ein Akku mit 90 kWh, bei den Spitzenmodellen sind es 108 kWh.

  2. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

  3. Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.
     
    Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.

    Nach gut drei Wochen voller Rabatte und Schnäppchen endet heute Abend mit dem Cyber Monday die Black Friday Woche.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
    •  /