In den vergangenen Monaten gab es einige bemerkenswerte Meldungen zum Thema Microsoft und IT-Sicherheit: Exchange-Lücken nach Hinweisen der NSA, BSI-Warnung vor Sicherheitslücke in Microsoft Exchange, eine Empfehlung der CISA (Cybersecurity and Infrastructure Security Agency), ein Microsoft-Update für eine bekannte Sicherheitslücke nicht einzuspielen, weil es zu großen, anderen Problemen führt und neue Rekorde bei der Anzahl der bekannt gewordenen und geschlossenen Sicherheitslücken in Microsoft-Produkten.
So richtig für Aufsehen gesorgt hat in der breiten Öffentlichkeit eigentlich keine davon. Irgendwie hat sich die Kundschaft daran gewöhnt, dass es eben den Patchday gibt, dass da jeweils mehrere Dutzend Lücken in diversen Produkten geschlossen werden.
Microsoft tut viel - aber tut es genug?
Nicht zuletzt hat Microsoft in den vergangenen Jahren ja wirklich massiv in den Bereich Security investiert. Zum Beispiel wurde aus dem einst als "nette Ergänzung" belächelten Windows Defender, der inzwischen Microsoft Defender heißt, ein ganz brauchbares Security-Tool, das zumindest privaten Nutzern einen ordentlichen Grundschutz bietet. In den einschlägigen Tests bei der Malware-Erkennung kann es durchaus mit den kostenpflichtigen Angeboten der Spezialisten mithalten kann.
Die Security-Aktivitäten von Microsoft als Aktionismus und Augenwischerei abzutun wäre daher verkehrt. Es hat sich wirklich viel getan. Aber nach Ansicht von Experten sind immer noch viele Baustellen offen - und haben sich neue aufgetan. Ein Schlaglicht warf darauf vergangene Woche ein Brief von US-Senator Ron Wyden an die Cybersecurity and Infrastructure Security Agency (CISA), das Justizministerium und die Federal Trade Commission (FTC). Er fordert die Behörden darin auf, Microsoft für ein wiederholtes Muster fahrlässiger Cybersicherheitspraktiken zur Rechenschaft zu ziehen, die chinesische Spionage gegen die US-Regierung ermöglicht hätten.
Wer sucht, der findet
Den Daten von Googles "Project Zero" zufolge entfallen 42,5 Prozent aller seit 2014 entdeckten Zero-Day-Lücken auf Microsoft-Produkte. Maddie Stone, Sicherheitsforscherin bei Google, relativiert diese Zahl allerdings etwas: "Während Microsoft Windows schon immer ein Hauptziel für Akteure war, die 0-Days ausnutzen, halte ich es für wahrscheinlicher, dass wir aufgrund einer Verzerrung bei der Erkennung mehr Microsoft-0-Days sehen. Da Microsoft schon ein Angriffsziel war, bevor einige der anderen Plattformen überhaupt erfunden wurden, hat die Entwicklung von 0-Day-Erkennungslösungen für Microsoft-Produkte viele Jahre Vorsprung. Das Microsoft-Ökosystem ermöglicht es neben Microsoft auch Dritten, Erkennungslösungen für 0-Days bereitzustellen. Umso mehr Menschen mithilfe unterschiedlicher Erkennungsmethoden nach 0-Days suchen, desto eher ist zu erwarten, dass auch welche gefunden werden."
Amit Yoran, CEO von Tenable, einem auf Schwachstellenmanagement spezialisierten IT-Sicherheitsanbieter, will das so pauschal aber nicht als Entschuldigung gelten lassen. Er hält es mit der alten Spiderman-Weisheit "Aus großer Kraft folgt große Verantwortung". Yoran wird deshalb in einem Beitrag auf LinkedIn deutlich: "Microsofts mangelnde Transparenz bezieht sich auf Sicherheitsverletzungen, unverantwortliche Sicherheitspraktiken und Schwachstellen. Diese setzen alle Kunden Risiken aus, über die sie absichtlich im Unklaren gelassen werden."
Frust beim Schwachstellen-Detektiv
Im März 2023 hatte ein Mitglied des Forschungsteams von Tenable die Azure-Plattform von Microsoft und die damit verbundenen Dienste untersucht. Der Forscher entdeckte eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglichen würde, auf mandantenübergreifende Anwendungen und sensible Daten, etwa Authentifizierungsgeheimnisse, zuzugreifen. Um aufzuzeigen, wie kritisch die Lücke ist, entdeckte das Team sehr schnell die Authentifizierungsgeheimnisse einer Bank. Diese benachrichtigte sofort Microsoft.
Yoran berichtet: "Hat Microsoft das Problem, das tatsächlich zu einem Eindringen in die Netzwerke und Dienste mehrerer Kunden führen konnte, schnell behoben? Nein, natürlich nicht. Es hat mehr als 90 Tage gedauert, um eine Teilbehebung vorzunehmen - und das nur für neu in den Dienst geladene Anwendungen. Das bedeutet, dass die erwähnte Bank auch heute noch gefährdet ist, mehr als 120 Tage nachdem Tenable das Problem gemeldet hat.
Dies gilt ebenso für alle anderen Unternehmen, die den Dienst vor der Behebung des Problems in Betrieb genommen hatten. Soweit bekannt ist, wissen diese Unternehmen immer noch nicht, dass sie gefährdet sind und können daher keine fundierten Entscheidungen über entsprechende Kontrollen und andere risikomindernde Maßnahmen treffen. Microsoft behauptet, das Problem bis Ende September zu beheben, also vier Monate, nachdem Tenable es gemeldet hatte. Das ist grob unverantwortlich, wenn nicht gar grob fahrlässig. Tenable weiß über das Problem Bescheid, Microsoft weiß über das Problem Bescheid - und die Angreifer hoffentlich nicht."
Modell der "Shared Resonsibility" in Gefahr?
Cloud-Anbieter generell und Microsoft im Besonderen propagieren bei der Nutzung ihrer Cloud-Angebote das Modell der "geteilten Verantwortung". Das heißt verkürzt, dass sich Kunden um die Sichehreit der Daten kümmern müssen, während der Anbietr sich um die Sichehreit der Infrastruktur und Anwendungen kümmert. Dieses Modell sieht Yoran jedoch ernstlich in Gefahr, "wenn der Cloud-Provider seine Kunden nicht über Probleme informiert, sobald sie auftreten, und diese nicht transparent behebt. Kunden hören von Microsoft 'vertrauen Sie uns einfach', aber sie bekommen sehr wenig Transparenz und eine Kultur der absichtlichen Verschleierung. Wie kann ein CISO, der Vorstand oder das Führungsteam glauben, dass Microsoft angesichts der Fakten und des derzeitigen Verhaltens das Richtige tun wird?", fragt Yoaran. Microsofts Erfolg setzt uns alle Risiken aus - und es ist noch schlimmer, als wir dachten."
Tausend Schwachstellen in Microsoft-Produkten