Proxylogon: Microsofts skandalöser Umgang mit den Exchange-Lücken

Wenn gefährliche Lücken aktiv ausgenutzt werden, darf es nicht Wochen dauern, bis ein Sicherheitsupdate bereitsteht.

Ein IMHO von veröffentlicht am
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt.
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt. (Bild: Mate Chris Desmond, US Navy, Wikimedia Commons)

Sicherheitslücken, die zu vielen kompromittierten Systemen führen, sind in der aktuellen IT-Landschaft keine Seltenheit. Doch die Vorkommnisse um die jüngsten Exchange-Sicherheitslücken mit dem Namen Proxylogon sind keine gewöhnliche Geschichte über IT-Sicherheitslücken. Hier ist etwas passiert, das ansonsten äußerst selten vorkommt: Eine Remote-Code-Execution-Lücke wurde bereits wochenlang massenhaft ausgenutzt, bevor ein Sicherheitsupdate zur Verfügung stand.

Einer der wichtigsten Ratschläge in Sachen IT-Sicherheit - möglicherweise der wichtigste überhaupt - lautet bekanntlich: Software aktuell halten. Wer Aktualisierungen und insbesondere Sicherheitsupdates regelmäßig installiert, ist vor vielen Bedrohungen geschützt.

Updates installieren hilft - meistens

Dieser Ratschlag gilt natürlich nach wie vor. Updates schützen und sollten für alle, die Infrastruktur im Internet betreiben, selbstverständlich sein. Angriffe mit sogenannten Zero-Days, also mit Sicherheitslücken, die bisher nicht öffentlich bekannt sind, kommen zwar vor, sind aber deutlich seltener und meist gezielt.

Das ist es, was die Proxylogon-Lücken so beunruhigend macht: Administratoren, die im Grunde nichts falsch gemacht und alle Sicherheitsupdates zeitnah installiert haben, wurden massenhaft Opfer von erfolgreichen Angriffen. Und dafür verantwortlich ist Microsoft, denn dort hat man sich mit der Korrektur der Lücke viel zu lange Zeit gelassen - selbst dann noch, als Microsoft von den Angriffen wusste.

Der Journalist Brian Krebs hat den zeitlichen Ablauf der Vorgänge bereits vor einer Woche nachgezeichnet. Demnach wurde Microsoft am 5. Januar von der Firma Devcore über die Exchange-Lücken informiert. Am 2. Februar informierte auch die Firma Veloxity Microsoft darüber, dass es aktive Angriffe auf Exchange-Server gibt.

Spätestens Anfang Februar wusste Microsoft also definitiv, dass die Hütte brennt. Trotzdem dauerte es noch einen weiteren Monat, bis Microsoft am 2. März ein Sicherheitsupdate bereitstellte. Das ist schlicht skandalös: Microsoft ließ die Angreifer wochenlang gewähren, ohne seine Kunden zu schützen.

War ein Leak für Angriffe verantwortlich?

Inzwischen wird über eine noch viel beunruhigendere Möglichkeit spekuliert: Microsoft selbst könnte die Angreifer unabsichtlich mit Exploits versorgt haben. Auf Ars Technica wies der Journalist Dan Goodin vor einigen Tagen darauf hin, dass etwas an den Angriffen sehr ungewöhnlich sei: Offenbar haben zahlreiche verschiedene Gruppen die Lücke bereits ausgenutzt, bevor die Informationen öffentlich bekannt waren.

Das Wallstreet Journal berichtete nun, dass der Grund dafür sein könnte, dass Microsoft Informationen über Sicherheitslücken und zugehörige Exploits vorab mit zahlreichen IT-Sicherheitsfirmen teilt. Im sogenannten Microsoft Active Protections Programm (MAPP) sind etwa 80 Firmen, die der Konzern in solchen Fällen informiert.

Dass in Disclosure-Prozessen Informationen von Beteiligten missbraucht oder auch versehentlich an Unberechtigte weitergegeben werden können, ist nicht überraschend. Klar ist: Je mehr Personen vorab informiert werden und je länger ein solcher Prozess dauert, umso wahrscheinlicher ist ein solches Leak.

Geschwindigkeit zählt

Leider herrscht bei vielen Firmen noch die Haltung vor, dass es normal ist, sich wochen- oder monatelang mit einem Sicherheitsupdate Zeit zu lassen. Viele werden sich etwa noch daran erinnern, dass im vergangenen Frühjahr zahlreiche Institutionen durch eine Lücke in Citrix-Geräten gehackt wurden. In dem Fall hatte Citrix die Lücke bereits im Dezember selbst bekannt gemacht, aber erst viele Wochen später ein Sicherheitsupdate bereitgestellt. Zwischendurch gab es lediglich eine Anleitung für einen Workaround, der allerdings in einigen Fällen nicht zuverlässig funktionierte.

Bei der heutigen Bedrohungslage in Sachen IT-Sicherheit wird Geschwindigkeit immer wichtiger. Wenn es um besonders kritische Sicherheitslücken geht - und kritischer als eine Remote-Code-Execution-Lücke auf Servern geht es kaum - dann müssen Firmen in der Lage sein, ihre Kunden zeitnah mit Updates zu versorgen. Release-Prozesse und Tests müssen soweit automatisiert werden, dass sie auch in kurzer Zeit durchführbar sind. Das muss in wenigen Tagen möglich sein, in Notfällen auch innerhalb von Stunden. Produkte von Firmen, die dazu nicht in der Lage sind, kann man im Grunde genommen nicht guten Gewissens auf öffentlich erreichbaren Servern einsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Microsoft
AWS ermöglicht leichte Nutzung von Windows-11-VMs
artikel-bild
Ransomware-Angriff
Wenn plötzlich nichts mehr geht
artikel-bild
Security
Github erlaubt Exploits zur Forschung
Meistgelesen
artikel-bild
Deutschland-Start vor 20 Jahren
Das Mysterium von Donnie Darko
artikel-bild
Whistleblower
Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
artikel-bild
Autonome Fahrzeuge und LLMs
Wofür KI im Militär genutzt wird
Kommentarübersicht
Re: "Wir brauchen dringend einen sicheren...
unbekannt. 15. Apr 2021

Es beschleicht einen das Gefühl, dass es gar nicht darum ging, das herauszufinden...

Re: Nachteil langer Support-Zeiträume
TW1920 16. Mär 2021

Liegt daran, dass bei Exchange z.B. CUs die vorherigen Patche beinhalten... Man kann die...

Re: Community verfällt zurück in alte Rollenmuster
Iruwen 16. Mär 2021

Microsoft :p

Re: Stellt sich aber die eine Frage:
Michael H. 16. Mär 2021

Ah ok, das ändert natürlich ein wenig. Nvm

Aktuell auf der Startseite von Golem.de
Augen
Besser sehen bei der Bildschirmarbeit

Arbeitsplatzbrille, Blaulichtfilter, Glaukom: Was ist bei langen Arbeitszeiten am Monitor zu beachten? Eine Augenärztin gibt Tipps.
Von Peter Steinlechner

Augen: Besser sehen bei der Bildschirmarbeit
Artikel
  1. Energieversorgung: Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland
    Energieversorgung
    Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland

    Der Europäische Wärmepumpenverband zeigt sich wegen sinkender Absatzzahlen besorgt, aber hierzulande bleibt das Interesse groß.

  2. Gebrochene Platine: Vorsicht bei schweren Grafikkarten
    Gebrochene Platine
    Vorsicht bei schweren Grafikkarten

    Schon Mittelklasse-GPUs haben häufig große Kühlkörper. Nutzer sollten besonders vor dem Transport sicherstellen, dass die Platine nicht zu stark belastet wird.

  3. Frigate: Intelligente Videoüberwachung ohne Cloudzwang
    Frigate
    Intelligente Videoüberwachung ohne Cloudzwang

    Mit der Open-Source-Software Frigate lässt sich eine moderne Videoüberwachung realisieren - ohne Hersteller-Cloud und unabhängig von der Hardware.
    Von Dominik Haas

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MSI XMAS-Sale • Crucial P5 Plus SSD 500GB 39,99€ • Nur noch kurz: 3 für 2 Games-Aktion (PS5, PS4, Xbox, PC) • Apple Week • AVM Fritz Box 7510 74,99€ • Last-Minute-Angebote bei Amazon • Avatar, AC: Mirage & The Crew Motorfest bis -50% • Xbox Series X 399€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /