Windows und die Business-Anwendungen von Microsoft gelten als wenig sicher – Hintertüren und schlechte Sicherheitspatches gefährden die Daten der Nutzer. Aber auch die Alternativen sind nicht frei von Flöhen.
Seit Monaten gärt die Diskussion um die Sicherheit von Daten und wie sie Mittelständler „souverän“ halten können. Doch nicht nur in der Public Cloud sind Daten gefährdet. Fast jedes deutsche Unternehmen sowie praktisch alle Behörden nutzen Software von Microsoft - und das, obwohl die Sicherheitslücken darin alarmierend sind. Erst vor wenigen Wochen etwa sorgte eine Zero-Day-Sicherheitslücke mit der Bezeichnung „CVE-2025-53770“ für Aufregung unter Admins. Sie wurde tatsächlich aktiv ausgenutzt und veränderte sich laufend. Im Juli veröffentlichte Microsoft Notfallmaßnahmen zur Behebung.
Zunächst aber war die Sicherheitslücke nur eingeweihten Experten bekannt, sie war bereits im Mai im Rahmen des Hacking-Wettbewerbs “Pwn2Own” in Berlin ein großes internes Thema: “Auf dem Hacking-Contest wurde eine Microsoft-SharePoint-Vulnerability präsentiert. Als Veranstalter des Pwn2Own-Wettbewerbs zahlte Trend Micro dem Hacker-Team 100.000 Dollar Preisgeld“, berichtet Richard Werner, Business Consultant bei Trend Micro. „Mit Microsoft wurde ein ‘Coordinated-Vulnerability-Disclosure‘-Verfahren vereinbart. Dieses besagt, dass Veröffentlichungen zur Lücke nach gemeinsamer Vereinbarung erfolgen, außer wenn ‚in the wild‘ – sogenannte Zero-Day-Angriffe – auf die Lücke bekannt werden.“
Das passierte wenige Wochen später: Die Security-Experten von Eye Security beobachteten in der Nacht vom 18. auf den 19. Juli Angriffe „in-the-wild“. Trend Micro machte die Sache daraufhin öffentlich. Michael Sikorski, CTO und Head of Threat Intelligence für Unit 42 bei Palo Alto Networks, sieht darin ein generelles Problem: „Unit 42 beobachtet eine wirkungsvolle, andauernde Bedrohungskampagne, die auf lokale Microsoft SharePoint-Server abzielt. Während Cloud-Umgebungen nicht betroffen sind, sind lokale SharePoint-Implementierungen einem unmittelbaren Risiko ausgesetzt – insbesondere in Behörden, Schulen, im Gesundheitswesen einschließlich Krankenhäusern und großen Unternehmen.“
Die Angreifer umgingen Identitätskontrollen, einschließlich MFA und SSO, um privilegierten Zugang zu erlangen. Einmal im System, exfiltrierten sie sensible Daten, installierten permanente Hintertüren und würden kryptographische Schlüssel stehlen. „Die Angreifer haben diese Schwachstelle genutzt, um in Systeme einzudringen, und etablieren bereits ihre Präsenz. Wenn Unternehmen SharePoint lokal betreiben und es mit dem Internet verbunden ist, sollten sie zu diesem Zeitpunkt davon ausgehen, dass sie kompromittiert wurden. Patching allein ist unzureichend, um die Bedrohung vollständig zu beseitigen“, warnt Sikorski.
Besonders besorgniserregend sei die tiefe Integration von SharePoint in die Microsoft-Plattform, einschließlich ihrer Dienste wie Office, Teams, OneDrive und Outlook. Sie alle enthielten in der Regel für einen Angreifer wertvollen Informationen. „Eine Kompromittierung bleibt nicht eingegrenzt – sie öffnet die Tür zum gesamten Netzwerk“, mahnt der Experte. Unternehmen, die SharePoint lokal betreiben, sollten sofort handeln und alle relevanten Patches jetzt bzw. sobald sie verfügbar sind installieren. Auch gelte es, sämtliches kryptographisches Material zu rotieren und professionelle Incident Response einzusetzen. Sikorski: „Eine Notlösung wäre, Microsoft SharePoint vom Internet zu trennen, bis ein Patch verfügbar ist. Ein falsches Sicherheitsgefühl könnte zu anhaltender Exposition und weitreichender Kompromittierung führen.“
Lange Reihe von Exploits
Lücken in Microsoft-Programmen sind – betrachtet man die vergangenen zwanzig Jahre – leider eher die Regel denn die Ausnahme. Erst vor wenigen Tagen hatte das Global Research and Analysis Team (GReAT) von Kaspersky wieder einmal vor einer bislang unbekannten Backdoor mit dem Namen „GhostContainer“ gewarnt. Die hochgradig angepasste Schadsoftware zielt auf die Microsoft-Exchange-Infrastruktur in Regierungsumgebungen ab. Angreifer erhalten via Backdoor die vollständige Kontrolle über den Exchange-Server und können so eine Vielzahl schädlicher Aktivitäten durchführen. Darüber hinaus kann sie als Proxy oder Tunnel fungieren und so das interne Netzwerk externen Bedrohungen aussetzen oder die Exfiltration sensibler Daten aus internen Systemen erleichtern. Daher vermuten die Kaspersky-Experten Cyberspionage als Ziel der Kampagne.
Das ist aber nur ein jüngeres Beispiel für Hintertüren in Microsoft-Programmen. Vergangenes Jahr haben die Elastic Security Labs eine Windows-Backdoor namens BITSLOTH identifiziert, die den Windows BITS Dienst nutzt, um unentdeckt Daten herunterzuladen. Eine kürzlich ausgenutzten ToolShell-Sicherheitslücken in Microsoft SharePoint geht gar auf eine unvollständige Korrektur eines aus dem Jahr 2020 stammenden Exploits mit Namen CVE-2020-1147 zurück. Die Angriffe auf SharePoint-Server stiegen laut Kaspersky im Zeitraum zwischen der ersten Ausnutzung und der vollständigen Bereitstellung der Patches weltweit.
Alternativen weisen ebenfalls Lücken auf
Die Liste ließe sich ewig fortsetzen. Fairerweise und zum Leidwesen von Sicherheitsbeauftragten muss aber auch gesagt werden, dass die Alternativen zu Microsoft ebenfalls nicht frei von Flöhen sind. Erst vor einem Jahr hatte der deutsche Programmierer Andres Freund eine Hintertür im Linux-Betriebssystem bzw. im dafür notwendigen Software-Werkzeug „xz-utils“ entdeckt. Damit hätte ein weltweiter Cyberangriff gestartet werden können, der sowohl Tausende von Rechenzentren als auch Millionen von Android-Smartphones betroffen hätte.
Die von Freund entdeckte „zentrale“ Hintertür in Linux ist aber nur eine von vielen, die mittlerweile gefunden wurden. Trotzdem ist das Open-Source-Betriebssystem durch zahlreiche integrierte Sicherheitsfunktionen wie etwa die automatische Zuweisung niedriger Benutzerberechtigungen dem Pendant von Microsoft sicherheitstechnisch überlegen. Nicht zuletzt wegen der großen Community von Linux, die regelmäßig auf Schwachstellen hin testet und gegebenenfalls Sicherheitspatches erstellt. Nichtsdestoweniger ist auch Linux nicht vollständig immun gegen Angriffe, Viren und Malware.
Unter diesem Gesichtspunkt macht der Einsatz von Microsoft-Software doch wieder Sinn: Anwender wissen wenigstens, dass ihre Daten damit einem Risiko ausgesetzt sind, entsprechend wachsam müssen sie sein. Alternative Programme könnten die Nutzer in Sicherheit wiegen, wiewohl sie fast genauso auf dem Präsentierteller residieren.
Weitere Artikel zum Schwerpunkt „Security“