Cloud-Ausfälle und Exploits ohne Patch

Microsoft ringt um Sicherheit

05.02.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Bei Microsoft-Diensten häufen sich derzeit die Störungen und Angriffe. Welchen Risiken sind Unternehmen ausgesetzt und was unternimmt der Konzern dagegen?

Der zweite Dienstag im Monat ist Microsoft-Update-Tag. Mit dem Januar-Patch schlossen die Redmonder kritische Lücken in Exchange und Windows-Schwachstellen durch schädliche Pakete des Kommunikationsprotokolls DHCP. Aufatmen konnten die Anwender jedoch nicht lange.

Es bleibt zu hoffen, dass Microsoft die Lücken in seinen Produkten und Services, die in den letzten Monaten bekannt geworden sind, bald schließt.
Es bleibt zu hoffen, dass Microsoft die Lücken in seinen Produkten und Services, die in den letzten Monaten bekannt geworden sind, bald schließt.
Foto: StockStudio - shutterstock.com

Störungen in Exchange

Bereits zwei Wochen später meldete Heise.de Störungen der Online-Dienste von Office365.com bei Unternehmen in Deutschland und der Schweiz. E-Mails ließen sich zeitweilig weder senden noch empfangen. Microsoft grenzte das Problem auf Exchange Online ein. Es seien mehr Anfragen als erwartet an die Authentifizierungsinfrastruktur von Microsoft gestellt worden, so dass viele davon weit hinten in der Warteschlange für die Ausführung (Queue) landeten. Der Dienst wies diese dann entweder direkt ab oder brach sie nach einer Zeitüberschreitung (Timeout) ab. Die Störung betraf nur Firmenkunden.

Microsoft-Cloud-Chaos

Für manche Nutzer war das nichts Neues. Zwei Monate zuvor hatten sich vergleichbare Probleme in der Microsoft-Cloud gezeigt. Auch hier fiel der E-Mail-Dienst aus. Zusätzlich kam es bei der Zwei-Faktor-Authentifizierung (2FA) in Microsoft Azure zu Störungen und OneDrive-Speicher war zeitweilig nicht erreichbar.

Ähnliches geschah nun erneut - direkt nachdem Exchange wieder fehlerfrei lief. Diesmal traf es den Abo-basierten Online-Service Microsoft 365, der Windows 10, Office 365 und Lösungen für Enterprise Mobility und Security (EMS) beinhaltet.

Grund war eine Fehlfunktion der Advanced Thread Protection (ATP) von Microsoft. Aktiviert der Administrator die Safe-Links-Funktion in Microsoft 365, überprüft ATP normalerweise angeklickte Links in E-Mails auf gefährliche Inhalte und blockiert gegebenenfalls die Weiterleitung. Nun stoppte ATP auch legitime URLs und leitete Nutzer immer auf eine Fehlerseite weiter. Im Zuge dessen kamen auch weitere Störungen von Azure, Outlook, OneDrive, Sharepoint Online, Exchange Online, Skype sowie der Zwei-Faktor-Authentifizierung ans Licht.

Laut Microsoft waren Wartungsarbeiten und fehlerhafte Software-Updates auf den Servern eines externen DNS-Providers für die Ausfälle verantwortlich. Sie hätten sich negativ auf den Netzwerkbetrieb ausgewirkt. Der Softwarekonzern entschärfte die Lage, indem er seine DNS-Dienste auf einen anderen Anbieter umleitete.

Neben zeitweise unerreichbaren Services verursachten die Ausfälle auch schwerwiegendere Probleme für Unternehmen. OnlinePC.ch berichtet, dass Microsoft versehentlich Kundendaten aus Azure-SQL-Datenbanken gelöscht haben soll, während die Cloud-Störung behoben wurde. Bei den verlorenen Daten soll es sich um benutzerdefinierte Azure-Key-Vault-Schlüssel für transparente Datenverschlüsselung gehandelt haben.

Laut The Register stellen die Redmonder die Daten anhand von Snapshots wieder her. Sie entschuldigten sie sich für den Vorfall und boten allen betroffenen Kunden an, die wiederhergestellten Datenbanken für zwei Monate kostenlos zu nutzen. Ursprüngliche Datenbanken seien für drei Monate kostenfrei.

Exchange, die Zweite - Sicherheitslücke ohne Patch

Zeitgleich mit den jüngsten Cloud-Problemen warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer Schwachstelle im Microsoft Exchange Server. Die Behörde stuft das damit einhergehende Risiko als "sehr hoch" ein.

Laut Golem können Angreifer damit drei bekannte Sicherheitslücken ausnutzen, um sich erweiterte Administrator-Rechte auf einem Exchange-Server der Versionen 2013, 2016 und 2019 zu verschaffen. Hacker Dirk-Jan Mollema hatte in einem Blog nachgewiesen, dass der Exploit funktioniert. Darin veröffentlichte er auch einige Schutzmaßnahmen für IT-Verantwortliche, um das Leck zu schließen.

Microsoft selbst bewertet die Lücke als "wichtig", hält es aber für unwahrscheinlich, dass der Exploit ausgenutzt werde. Das könnte der Grund sein, warum es noch kein Update gab, das den Exploit behebt. Auf Anfrage, ob am kommenden Patch Day im Februar Abhilfe zu erwarten sei, sagte ein Microsoft-Sprecher gegenüber der COMPUTERWOCHE, dass es eine Standardprozedur sei, Security-Updates am zweiten Dienstag des Monats zu veröffentlichen.

Der Sprecher betonte darüber hinaus das Engagement des Unternehmens für Security. Er verwies darauf, dass Microsoft in der Vergangenheit immer wieder durch proaktives Untersuchen und Patchen Schwachstellen beseitigt habe, bevor irgendein Schaden entstanden sei. Für Anwender der Microsoft-365- und Exchange-Produkte bleibt zu hoffen, dass der Konzern sich bald der Vorkommnisse der letzten drei Monate gemäß dieser Aussage annimmt.