Hacker haben einen groß angelegten Cyberangriff gestartet, indem sie eine kritische Sicherheitslücke in Microsofts weit verbreiteter SharePoint Server-Software ausnutzten.
Nach Angaben von Regierungsbeamten hat der Datenverstoß US-amerikanische Bundes- und Landesbehörden, Universitäten, Energieunternehmen und sogar die Telekommunikationsinfrastruktur in Asien beeinträchtigt.
Die Schwachstelle liegt in den lokalen SharePoint-Servern – Systemen, die intern zum Speichern und Teilen von Dokumenten verwendet werden – und nicht in den Cloud-Diensten von Microsoft wie Microsoft 365 , was sie zu einem bevorzugten Ziel für Angreifer macht.
Die Schwachstelle wird als „Zero-Day“-Sicherheitslücke bezeichnet, eine neue Software-Schwachstelle, für die Microsoft noch keinen Patch bereitgestellt hat. Unternehmen hatten keine Zeit, sich vorzubereiten, und Tausende von Institutionen waren dadurch angreifbar.
Nach Angaben von Sicherheitsforschern sind die Hacker in Systeme von über 50 Organisationen eingedrungen, darunter mehrere europäische Regierungsbehörden, ein Energieunternehmen in einem großen US-Bundesstaat und eine Universität in Brasilien.
In einem Bundesstaat im Osten der Vereinigten Staaten brachten Angreifer eine Menge Dokumente unter ihre Kontrolle, die zur Veröffentlichung bestimmt waren, und hielten sie dann in der Schwebe, damit die Behörde sie nicht zurückholen und entfernen konnte.
Microsoft versäumt es, inmitten der sich ausweitenden Sicherheitslücke einen Patch bereitzustellen
Die US-amerikanische Cybersicherheitsbehörde CISA sowie die Cybersicherheitsbehörden Kanadas und Australiens untersuchen den Vorfall aktiv. Microsoft hat noch keinen Patch für die SharePoint-Server-Schwachstelle veröffentlicht, weshalb betroffene Unternehmen gezwungen sind, auf temporäre Lösungen zurückzugreifen – wie die Anpassung von Serverkonfigurationen oder die Offline-Schaltung von Systemen –, um das Risiko zu minimieren.
Microsoft bestätigte den Sicherheitsvorfall und veröffentlichte eine Warnmeldung, äußerte sich aber nicht öffentlich. Das Unternehmen riet Nutzern dringend, Sicherheitseinstellungen zu aktivieren und betroffene Server vom Internet zu trennen, um das Risiko zu minimieren.
Das Center for Internet Security, das mit lokalen Behörden in den USA zusammenarbeitet, gab an, Warnungen an rund 100 potenziell betroffene Organisationen, darunter öffentliche Schulen und Universitäten, versandt zu haben. Die Reaktion wurde zudem durch jüngste Kürzungen der Fördermittel erschwert, die das Personal für Bedrohungsanalyse und -abwehr um mindestens 60 % reduziert haben.
Randy Rose,dent des Center for Internet Security, erklärte, die Benachrichtigungen hätten am Samstagabend sechs Stunden gedauert. Er fügte hinzu, der Prozess wäre deutlich schneller vonstattengegangen, wenn die Teams nicht verkleinert worden wären.
Die CISA, die derzeit von ihrem designierten Direktor kommissarisch geleitet wird, bis ihre Ernennung bestätigt ist, betonte, dass ihre Mitarbeiter unermüdlich gearbeitet hätten. Marci McCarthy, eine Sprecherin der Behörde, erklärte, niemand habe die Arbeit vernachlässigt.
Sicherheitslücken führen zu verstärkter Kritik an Microsoft
Der jüngstedent verstärkt die Besorgnis über die Fähigkeit von Microsoft, seine Software zu sichern, da das Unternehmen in vielen Teilen der Welt nach wie vor ein wichtiger Technologielieferant für Regierungen ist.
Das US-Heimatschutzministerium erklärte, die Angreifer hätten möglicherweise eine zuvor behobene SharePoint-Schwachstelle ausgenutzt. Dies unterstreicht Microsofts wiederholte Strategie, eng fokussierte Korrekturen bereitzustellen, die verwandte, noch nicht ausgenutzte Sicherheitslücken nicht schließen.
IT-Sicherheitsexperten befürchten langfristige Folgen des Sicherheitsvorfalls. Sobald Angreifer Zugriff auf die internen SharePoint-Server erlangt haben, können sie auch in sensible Systeme wie Outlook, Teams und andere, die im Arbeitsalltag genutzt werden, eindringen. Laut Berichten haben Hacker kryptografische Schlüssel gestohlen, mit denen sich die Server selbst nach der Installation von Sicherheitsupdates erneut kompromittieren lassen.
Ein an der Reaktion beteiligter Forscher, der aufgrund der laufenden Bundesermittlungen anonym bleiben wollte, warnte davor, dass die Veröffentlichung eines Patches am Montag oder Dienstag niemandem helfen würde, dessen Systeme bereits in den letzten 72 Stunden kompromittiert worden seien.
Im vergangenen Jahr kritisierte ein von der US-Regierung eingesetztes Gremium Microsoft für den Umgang mit einem gezielten chinesischen Cyberangriff auf E-Mail-Systeme der US-Regierung, darunter auch Nachrichten der damaligen Handelsministerin Gina Raimondo. Das Unternehmen erklärte in diesem Fall, seine Cloud-Plattform sei missbraucht worden, um illegal auf sensible Kommunikation zuzugreifen.
Das Unternehmen geriet letzte Woche erneut in die Kritik, nachdem ProPublica berichtet hatte, dass Microsoft in China Ingenieure für Cloud-Projekte im Zusammenhang mit dem US-Militär eingestellt hatte. Am Freitag gab Microsoft bekannt, keine Ingenieure mehr in China für Pentagon-bezogene Systeme zu beschäftigen.
