Proxylogon: Microsofts skandalöser Umgang mit den Exchange-Lücken

Wenn gefährliche Lücken aktiv ausgenutzt werden, darf es nicht Wochen dauern, bis ein Sicherheitsupdate bereitsteht.

Ein IMHO von veröffentlicht am
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt.
Bei gefährlichen Sicherheitslücken kommt es auf Geschwindigkeit an - Microsoft hat hier katastrophal versagt. (Bild: Mate Chris Desmond, US Navy, Wikimedia Commons)

Sicherheitslücken, die zu vielen kompromittierten Systemen führen, sind in der aktuellen IT-Landschaft keine Seltenheit. Doch die Vorkommnisse um die jüngsten Exchange-Sicherheitslücken mit dem Namen Proxylogon sind keine gewöhnliche Geschichte über IT-Sicherheitslücken. Hier ist etwas passiert, das ansonsten äußerst selten vorkommt: Eine Remote-Code-Execution-Lücke wurde bereits wochenlang massenhaft ausgenutzt, bevor ein Sicherheitsupdate zur Verfügung stand.

Stellenmarkt
  1. Software-Entwickler für Logistik-Anwendungen (m/w/d)
    Deichmann SE, Essen
  2. Product Lead (f/m/d)
    NEXPLORE Technology GmbH, Essen, Darmstadt, München
Detailsuche

Einer der wichtigsten Ratschläge in Sachen IT-Sicherheit - möglicherweise der wichtigste überhaupt - lautet bekanntlich: Software aktuell halten. Wer Aktualisierungen und insbesondere Sicherheitsupdates regelmäßig installiert, ist vor vielen Bedrohungen geschützt.

Updates installieren hilft - meistens

Dieser Ratschlag gilt natürlich nach wie vor. Updates schützen und sollten für alle, die Infrastruktur im Internet betreiben, selbstverständlich sein. Angriffe mit sogenannten Zero-Days, also mit Sicherheitslücken, die bisher nicht öffentlich bekannt sind, kommen zwar vor, sind aber deutlich seltener und meist gezielt.

Das ist es, was die Proxylogon-Lücken so beunruhigend macht: Administratoren, die im Grunde nichts falsch gemacht und alle Sicherheitsupdates zeitnah installiert haben, wurden massenhaft Opfer von erfolgreichen Angriffen. Und dafür verantwortlich ist Microsoft, denn dort hat man sich mit der Korrektur der Lücke viel zu lange Zeit gelassen - selbst dann noch, als Microsoft von den Angriffen wusste.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    19.-22.12.2022, virtuell
Weitere IT-Trainings

Der Journalist Brian Krebs hat den zeitlichen Ablauf der Vorgänge bereits vor einer Woche nachgezeichnet. Demnach wurde Microsoft am 5. Januar von der Firma Devcore über die Exchange-Lücken informiert. Am 2. Februar informierte auch die Firma Veloxity Microsoft darüber, dass es aktive Angriffe auf Exchange-Server gibt.

Spätestens Anfang Februar wusste Microsoft also definitiv, dass die Hütte brennt. Trotzdem dauerte es noch einen weiteren Monat, bis Microsoft am 2. März ein Sicherheitsupdate bereitstellte. Das ist schlicht skandalös: Microsoft ließ die Angreifer wochenlang gewähren, ohne seine Kunden zu schützen.

War ein Leak für Angriffe verantwortlich?

Inzwischen wird über eine noch viel beunruhigendere Möglichkeit spekuliert: Microsoft selbst könnte die Angreifer unabsichtlich mit Exploits versorgt haben. Auf Ars Technica wies der Journalist Dan Goodin vor einigen Tagen darauf hin, dass etwas an den Angriffen sehr ungewöhnlich sei: Offenbar haben zahlreiche verschiedene Gruppen die Lücke bereits ausgenutzt, bevor die Informationen öffentlich bekannt waren.

Das Wallstreet Journal berichtete nun, dass der Grund dafür sein könnte, dass Microsoft Informationen über Sicherheitslücken und zugehörige Exploits vorab mit zahlreichen IT-Sicherheitsfirmen teilt. Im sogenannten Microsoft Active Protections Programm (MAPP) sind etwa 80 Firmen, die der Konzern in solchen Fällen informiert.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dass in Disclosure-Prozessen Informationen von Beteiligten missbraucht oder auch versehentlich an Unberechtigte weitergegeben werden können, ist nicht überraschend. Klar ist: Je mehr Personen vorab informiert werden und je länger ein solcher Prozess dauert, umso wahrscheinlicher ist ein solches Leak.

Geschwindigkeit zählt

Leider herrscht bei vielen Firmen noch die Haltung vor, dass es normal ist, sich wochen- oder monatelang mit einem Sicherheitsupdate Zeit zu lassen. Viele werden sich etwa noch daran erinnern, dass im vergangenen Frühjahr zahlreiche Institutionen durch eine Lücke in Citrix-Geräten gehackt wurden. In dem Fall hatte Citrix die Lücke bereits im Dezember selbst bekannt gemacht, aber erst viele Wochen später ein Sicherheitsupdate bereitgestellt. Zwischendurch gab es lediglich eine Anleitung für einen Workaround, der allerdings in einigen Fällen nicht zuverlässig funktionierte.

Bei der heutigen Bedrohungslage in Sachen IT-Sicherheit wird Geschwindigkeit immer wichtiger. Wenn es um besonders kritische Sicherheitslücken geht - und kritischer als eine Remote-Code-Execution-Lücke auf Servern geht es kaum - dann müssen Firmen in der Lage sein, ihre Kunden zeitnah mit Updates zu versorgen. Release-Prozesse und Tests müssen soweit automatisiert werden, dass sie auch in kurzer Zeit durchführbar sind. Das muss in wenigen Tagen möglich sein, in Notfällen auch innerhalb von Stunden. Produkte von Firmen, die dazu nicht in der Lage sind, kann man im Grunde genommen nicht guten Gewissens auf öffentlich erreichbaren Servern einsetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


unbekannt. 15. Apr 2021

Es beschleicht einen das Gefühl, dass es gar nicht darum ging, das herauszufinden...

TW1920 16. Mär 2021

Liegt daran, dass bei Exchange z.B. CUs die vorherigen Patche beinhalten... Man kann die...

Michael H. 16. Mär 2021

Ah ok, das ändert natürlich ein wenig. Nvm



Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. AVM Fritzbox: FritzOS 7.50 ist da
    AVM Fritzbox
    FritzOS 7.50 ist da

    Das neue Betriebssystem für Fritzboxen bringt viele Neuerungen beim Smart Home, führt Wireguard per QR-Code ein und verbessert IP-Sperren.

  2. Samsung-Tablet bei Amazon um 180 Euro reduziert
     
    Samsung-Tablet bei Amazon um 180 Euro reduziert

    Auch nach dem Black Friday gibt es bei Amazon günstige Samsung-Tablets. Je nach Modell sind derzeit bis zu 180 Euro Rabatt möglich.
    Ausgewählte Angebote des E-Commerce-Teams

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Crucial-SSDs günstiger • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ [Werbung]
    •  /