Neue, schwerwiegende Sicherheitsvorfälle in der Microsoft-Welt

Was ist passiert?

Der erste Vorfall betraf einen zentralen Signaturschlüssel von Microsoft für einen Teil der Azure Cloud, genauer gesagt Exchange. Angreifer haben Zugriff auf diesen Schlüssel bekommen. Das wäre schlimm genug, wenn nicht noch etwas anderes hinzugekommen wäre: Dieser Schlüssel war zwar nur für Exchange vorgesehen, doch hat eine Untersuchung von Sicherheitsforschern ergeben, dass der Schlüssel möglicherweise weitreichender eingesetzt werden könnte, insbesondere in Azure Active Directory. Wozu genau wird der Signaturschlüssel dabei eingesetzt? Zur Signatur von Authentisierungstoken. Das heißt: Ein Angreifer, der Zugriff auf diesen Schlüssel hat, kann beliebige Authentisierungstoken für jeden Nutzer von Azure Active Directory erzeugen.

Sollten die Sicherheitsforscher damit recht haben, wäre das der absolute Worst Case. Zwar hat Microsoft den Signaturschlüssel sofort gesperrt, als der Abfluss dieses Schlüssels bekannt wurde, doch ist unklar, wie lange die Angreifer den Schlüssel schon nutzen konnten, bevor er gesperrt wurde. Damit lassen sich wunderbare Hintertüren platzieren.

Und dann wurde noch eine zweite Panne bekannt: Es wurde – auch (wieder) in Azure Active Directory – eine schwere Sicherheitslücke gefunden, mit der Zugriff auf beliebige E-Mail-Postfächer von Kunden möglich ist. Dazu reicht im Zweifelsfall eine kostenlose Version von Azure Active Directory. Diese Lücke wurde schon vor Monaten entdeckt und an Microsoft gemeldet. Doch war diese Lücke auch nach 120 Tagen noch nicht geschlossen.

Insgesamt sind sich die Experten einig, dass die Reaktion und Kommunikation von Microsoft in Richtung seiner Kunden nicht optimal ist, und zwar in beiden Fällen. Wie sah die Reaktion von Microsoft aus? Und geht es auch anders?

Die Reaktion von Microsoft

Im Falle des ersten beschriebenen Vorfalls – das Abfließen des Signaturschlüssels – hat Microsoft zunächst sinnvoll reagiert: Der Schlüssel wurde so schnell wie möglich zurückgezogen und konnte daher nicht weiter vom Angreifer genutzt werden. Was bleibt, ist die Möglichkeit, dass die Angreifer den Schlüssel schon benutzt haben, um Hintertüren bei verschiedenen Kunden von Microsoft zu platzieren.
Doch in anderen Bereichen – vor allem der Kommunikation gegenüber Kunden – hat Microsoft leider sehr zögerlich reagiert und die mögliche Tragweite nicht offen kommuniziert. Es entsteht hier der Eindruck einer „Salami-Taktik“, was die Herausgabe von Informationen anbelangt. Hier ist die Verärgerung durchaus verständlich. Auf der anderen Seite möchte Microsoft wahrscheinlich vermeiden, falsche Aussagen zu treffen und unnötige Panik bei den Kunden zu stiften. Eine Balance zwischen Vorsicht und Offenheit zu finden, ist nicht einfach.

Es kommen mehr und mehr Informationen von Microsoft, insbesondere auch Hinweise, wie Kunden feststellen können, ob sie betroffen sind. Dazu gehört ebenfalls eine kostenlose Erweiterung des Protokollierungs-Umfangs der jeweiligen Dienste von Microsoft. Was noch passieren wird, lässt sich derzeit nicht vollständig absehen. Insgesamt wird die Reaktion auf den Vorfall größtenteils auf die Kunden abgewälzt.

Im Falle der beschriebenen Sicherheitslücke in Azure Active Directory ist die späte Reaktion von Microsoft ungewöhnlich. Auch auf Rückfrage der Sicherheitsforscher wurde (angeblich) nicht reagiert. Mittlerweile ist die Lücke jedoch geschlossen. Die genauen Hintergründe waren wohl auch hier nicht wirklich einsehbar – u.a. wegen der Reaktion von Microsoft.

Wie kann man sonst reagieren?

Eine andere mögliche Reaktion ist die komplette Offenlegung aller relevanten Informationen zu Sicherheitsvorfällen. Für den ersten Sicherheitsvorfall wäre ein solcher Ansatz natürlich für die Kunden am angenehmsten. Sie wüssten von vornherein, was genau passiert ist und wo sie betroffen sein könnten. Da die Ursache für den Datenabfluss hier auch relativ schnell identifiziert und der betroffene Schlüssel zurückgezogen wurde, ist der vom Angreifer genutzte Weg ins System (hoffentlich) bereits geschlossen. Mit einer sehr offenen Kommunikation kann man also auch zeigen, dass man die zugrunde liegenden Herausforderungen angeht und aus seinen Fehlern lernt. Wie man auf eventuelle Hintertüren reagiert, ist ebenfalls flexibel. Man könnte zum Beispiel für die Kunden die Protokollierung der entsprechenden Dienste übernehmen und diese damit entlasten und bei Anzeichen von Hintertüren informieren. Dann fühlen sich die Kunden auch nicht so alleingelassen.

Bezüglich der Sicherheitslücke, die über Monate nicht geschlossen wurde: Hier kann man über die Gründe nur spekulieren. Ohne die Details der Infrastruktur und der Software zu kennen, lässt sich nur schwer bis gar nicht sagen, wie lange die Entwicklung eines Sicherheitspatches überhaupt dauert. Hat sich Microsoft mit dem Thema beschäftigt? Ja. Ist der Patch fertig und eingespielt? Ja. Hätte man besser kommunizieren können, wie weit man ist? Mit Sicherheit.

Ich bin in einem meiner letzten Standpunkte auf den Umgang von Herstellern mit den Entdeckern von Sicherheitslücken eingegangen. Ja, Microsoft hat auf die Meldung der Sicherheitsforscher reagiert. Und die Sicherheitsforscher haben sich auch dazu entschlossen, die Sicherheitslücke nicht sofort zu veröffentlichen und Microsoft Zeit zu geben. Doch hat Microsoft diese Zeit leider verstreichen lassen, ohne hierzu irgendwelche Informationen mit den Sicherheitsforschern auszutauschen.

Ja, die Sicherheitslücke wurde geschlossen. Allerdings kann eine bessere Kommunikation mit den Entdeckern von Schwachstellen zumindest zu einem besseren Verständnis für die eventuell langen Zeiten führen.

Fazit

In letzter Zeit fällt Microsoft leider wieder mit Sicherheitsproblemen auf, die zunächst einmal sehr merkwürdig anmuten. Manche fühlen sich vielleicht auch an die Zeiten von Windows XP erinnert, in der fast schon täglich neue kritische Lücken bekannt wurden. So schlimm ist es glücklicherweise noch nicht, doch die Kommunikation von Microsoft insbesondere in den letzten beiden bekannt gewordenen Fällen war sehr suboptimal. Der Verlust des Schlüssels und seine weitreichende Nutzbarkeit sind enorm schwerwiegend. Hier wäre eine zügigere Reaktion und Kommunikation sinnvoll gewesen. Und auch die lange Zeit bis zum Schließen der Lücke in Azure Active Directory wurde nicht für eine proaktive Kommunikation mit den Entdeckern genutzt. Woran das liegt, lässt sich nur schwer sagen. Manche mögen hier die Microsoft erkennen, die seinen Kunden gegenüber eher gleichgültig eingestellt ist, weil man ja eh auf Microsoft angewiesen ist. Doch man darf zwei Dinge nicht vergessen, die die Kommunikation deutlich komplizierter machen: Einerseits ist Microsoft ein sehr großes und komplexes Unternehmen, und die Kommunikationswege und Prozesse innerhalb von Microsoft können sehr umständlich sein. Andererseits ist auch die betroffene Infrastruktur, die Azure-Cloud, enorm komplex, und daher sind Auswirkungen von Lücken und Patches eventuell nur schwer abzuschätzen. Das sind Gründe, warum die Reaktion vielleicht so ausgefallen ist, was jedoch keine Rechtfertigung bedeutet. Hoffen wir, dass Microsoft daraus lernt.