• IT-Karriere:
  • Services:

Proxylogon: Microsofts skandalöser Umgang mit den Exchange-Lücken

Wenn gefährliche Lücken aktiv ausgenutzt werden, darf es nicht Wochen dauern, bis ein Sicherheitsupdate bereitsteht.

Ein IMHO von veröffentlicht am
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt.
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt. (Bild: Mate Chris Desmond, US Navy, Wikimedia Commons)

Sicherheitslücken, die zu vielen kompromittierten Systemen führen, sind in der aktuellen IT-Landschaft keine Seltenheit. Doch die Vorkommnisse um die jüngsten Exchange-Sicherheitslücken mit dem Namen Proxylogon sind keine gewöhnliche Geschichte über IT-Sicherheitslücken. Hier ist etwas passiert, das ansonsten äußerst selten vorkommt: Eine Remote-Code-Execution-Lücke wurde bereits wochenlang massenhaft ausgenutzt, bevor ein Sicherheitsupdate zur Verfügung stand.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim
  2. Universität Passau, Passau

Einer der wichtigsten Ratschläge in Sachen IT-Sicherheit - möglicherweise der wichtigste überhaupt - lautet bekanntlich: Software aktuell halten. Wer Aktualisierungen und insbesondere Sicherheitsupdates regelmäßig installiert, ist vor vielen Bedrohungen geschützt.

Updates installieren hilft - meistens

Dieser Ratschlag gilt natürlich nach wie vor. Updates schützen und sollten für alle, die Infrastruktur im Internet betreiben, selbstverständlich sein. Angriffe mit sogenannten Zero-Days, also mit Sicherheitslücken, die bisher nicht öffentlich bekannt sind, kommen zwar vor, sind aber deutlich seltener und meist gezielt.

Das ist es, was die Proxylogon-Lücken so beunruhigend macht: Administratoren, die im Grunde nichts falsch gemacht und alle Sicherheitsupdates zeitnah installiert haben, wurden massenhaft Opfer von erfolgreichen Angriffen. Und dafür verantwortlich ist Microsoft, denn dort hat man sich mit der Korrektur der Lücke viel zu lange Zeit gelassen - selbst dann noch, als Microsoft von den Angriffen wusste.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Der Journalist Brian Krebs hat den zeitlichen Ablauf der Vorgänge bereits vor einer Woche nachgezeichnet. Demnach wurde Microsoft am 5. Januar von der Firma Devcore über die Exchange-Lücken informiert. Am 2. Februar informierte auch die Firma Veloxity Microsoft darüber, dass es aktive Angriffe auf Exchange-Server gibt.

Spätestens Anfang Februar wusste Microsoft also definitiv, dass die Hütte brennt. Trotzdem dauerte es noch einen weiteren Monat, bis Microsoft am 2. März ein Sicherheitsupdate bereitstellte. Das ist schlicht skandalös: Microsoft ließ die Angreifer wochenlang gewähren, ohne seine Kunden zu schützen.

War ein Leak für Angriffe verantwortlich?

Inzwischen wird über eine noch viel beunruhigendere Möglichkeit spekuliert: Microsoft selbst könnte die Angreifer unabsichtlich mit Exploits versorgt haben. Auf Ars Technica wies der Journalist Dan Goodin vor einigen Tagen darauf hin, dass etwas an den Angriffen sehr ungewöhnlich sei: Offenbar haben zahlreiche verschiedene Gruppen die Lücke bereits ausgenutzt, bevor die Informationen öffentlich bekannt waren.

Das Wallstreet Journal berichtete nun, dass der Grund dafür sein könnte, dass Microsoft Informationen über Sicherheitslücken und zugehörige Exploits vorab mit zahlreichen IT-Sicherheitsfirmen teilt. Im sogenannten Microsoft Active Protections Programm (MAPP) sind etwa 80 Firmen, die der Konzern in solchen Fällen informiert.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dass in Disclosure-Prozessen Informationen von Beteiligten missbraucht oder auch versehentlich an Unberechtigte weitergegeben werden können, ist nicht überraschend. Klar ist: Je mehr Personen vorab informiert werden und je länger ein solcher Prozess dauert, umso wahrscheinlicher ist ein solches Leak.

Geschwindigkeit zählt

Leider herrscht bei vielen Firmen noch die Haltung vor, dass es normal ist, sich wochen- oder monatelang mit einem Sicherheitsupdate Zeit zu lassen. Viele werden sich etwa noch daran erinnern, dass im vergangenen Frühjahr zahlreiche Institutionen durch eine Lücke in Citrix-Geräten gehackt wurden. In dem Fall hatte Citrix die Lücke bereits im Dezember selbst bekannt gemacht, aber erst viele Wochen später ein Sicherheitsupdate bereitgestellt. Zwischendurch gab es lediglich eine Anleitung für einen Workaround, der allerdings in einigen Fällen nicht zuverlässig funktionierte.

Bei der heutigen Bedrohungslage in Sachen IT-Sicherheit wird Geschwindigkeit immer wichtiger. Wenn es um besonders kritische Sicherheitslücken geht - und kritischer als eine Remote-Code-Execution-Lücke auf Servern geht es kaum - dann müssen Firmen in der Lage sein, ihre Kunden zeitnah mit Updates zu versorgen. Release-Prozesse und Tests müssen soweit automatisiert werden, dass sie auch in kurzer Zeit durchführbar sind. Das muss in wenigen Tagen möglich sein, in Notfällen auch innerhalb von Stunden. Produkte von Firmen, die dazu nicht in der Lage sind, kann man im Grunde genommen nicht guten Gewissens auf öffentlich erreichbaren Servern einsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. mit 499€ neuer Bestpreis auf Geizhals
  2. (u. a. Stellaris - Galaxy Edition für 4,19€, Stellaris - Distant Stars Story Pack (DLC) für 2...
  3. 3.999€ statt 4.699€
  4. (u. a. Alita - Battle Angel + 3D für 21,99€, Le Mans 66: Gegen jede Chance für 19,99€, Der...

dsafsdf 18. Mär 2021 / Themenstart

Also erstens "waere" ich gross und blau, zumindest deiner bescheidenen meinung nach. Und...

dsafsdf 18. Mär 2021 / Themenstart

schade, dass du wohl nicht in der lage zu sein scheinst, meine postings zu verstehen...

TW1920 16. Mär 2021 / Themenstart

Liegt daran, dass bei Exchange z.B. CUs die vorherigen Patche beinhalten... Man kann die...

Michael H. 16. Mär 2021 / Themenstart

Ah ok, das ändert natürlich ein wenig. Nvm

Kommentieren


Folgen Sie uns
       


Surface Duo - Fazit

Das Surface Duo ist Microsofts erstes Smartphone seit Jahren - und ein ungewöhnliches dazu. Allerdings ist das Gerät in Deutschland viel zu teuer.

Surface Duo - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /