Globale Cyberangriffe auf Microsoft-Server gefährden Behörden

WASHINGTON / LONDON (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in Microsofts weit verbreiteter Server-Software hat zu einem globalen Cyberangriff geführt, der sowohl staatliche als auch private Organisationen betrifft.

In den letzten Tagen haben Hacker eine bedeutende Sicherheitslücke in der Microsoft-Server-Software ausgenutzt, um weltweit Angriffe auf Regierungsbehörden und Unternehmen zu starten. Betroffen sind unter anderem US-amerikanische Bundes- und Landesbehörden, Universitäten, Energieunternehmen sowie ein asiatisches Telekommunikationsunternehmen. Die US-Regierung und ihre Partner in Kanada und Australien untersuchen derzeit die Kompromittierung von SharePoint-Servern, die eine Plattform für das Teilen und Verwalten von Dokumenten bieten. Experten zufolge sind Zehntausende solcher Server gefährdet, und Microsoft hat bisher keinen Patch für die Schwachstelle bereitgestellt, was die Opfer weltweit in Alarmbereitschaft versetzt. Der sogenannte „Zero-Day“-Angriff, der eine zuvor unbekannte Schwachstelle ausnutzte, ist nur das jüngste Cybersicherheitsproblem für Microsoft. Im vergangenen Jahr wurde das Unternehmen von einem Expertengremium der US-Regierung und der Industrie für Sicherheitslücken kritisiert, die einen gezielten chinesischen Hack von US-Regierungs-E-Mails im Jahr 2023 ermöglichten. Der jüngste Angriff betrifft nur Server, die innerhalb einer Organisation gehostet werden – nicht solche in der Cloud wie Microsoft 365. Microsoft hat den Nutzern empfohlen, Änderungen an den SharePoint-Serverprogrammen vorzunehmen oder sie einfach vom Internet zu trennen, um den Angriff zu stoppen. Microsoft hat eine Warnung an die Kunden herausgegeben, sich jedoch nicht weiter geäußert. „Jeder, der einen gehosteten SharePoint-Server hat, hat ein Problem“, sagte Adam Meyers, Senior Vice President bei CrowdStrike, einem Cybersicherheitsunternehmen. „Es ist eine erhebliche Schwachstelle.“ Das FBI erklärte, dass es über den Vorfall informiert sei und eng mit seinen Partnern in der Bundesregierung und der Privatwirtschaft zusammenarbeite. „Wir sehen Versuche, Tausende von SharePoint-Servern weltweit auszunutzen, bevor ein Patch verfügbar ist“, sagte Pete Renals, ein leitender Manager bei Palo Alto Networks’ Unit 42. „Wir haben Dutzende kompromittierter Organisationen identifiziert, die sowohl den kommerziellen als auch den Regierungssektor umfassen.“ Mit dem Zugriff auf diese Server, die häufig mit Outlook-E-Mail, Teams und anderen Kerndiensten verbunden sind, kann ein Angriff zum Diebstahl sensibler Daten sowie zur Erfassung von Passwörtern führen, wie das niederländische Forschungsunternehmen Eye Security feststellte. Besorgniserregend ist auch, dass die Hacker Zugriff auf Schlüssel erlangt haben, die es ihnen ermöglichen könnten, erneut Zugang zu erhalten, selbst nachdem ein System gepatcht wurde. „Das Ausrollen eines Patches am Montag oder Dienstag hilft niemandem, der in den letzten 72 Stunden kompromittiert wurde“, sagte ein Forscher, der anonym bleiben wollte, da eine Bundesuntersuchung im Gange ist. Es war nicht sofort klar, wer hinter dem globalen Hack steckt oder welches ultimative Ziel verfolgt wird. Ein privates Forschungsunternehmen fand heraus, dass die Hacker sowohl Server in China als auch eine Staatslegislatur im Osten der USA ins Visier nahmen. Eye Security sagte, es habe mehr als 50 Verstöße verfolgt, darunter bei einem Energieunternehmen in einem großen Bundesstaat und mehreren europäischen Regierungsbehörden. Mindestens zwei US-Bundesbehörden haben ihre Server kompromittiert gesehen, so Forscher, die sagten, dass Vertraulichkeitsvereinbarungen mit den Opfern sie daran hindern, die Ziele zu benennen. Ein Staatsbeamter im Osten der USA sagte, die Angreifer hätten ein Dokumentenarchiv „gehijackt“, das der Öffentlichkeit zur Verfügung gestellt wurde, um den Bürgern zu helfen, zu verstehen, wie ihre Regierung funktioniert. Die beteiligte Behörde kann nicht mehr auf das Material zugreifen, aber es war unklar, ob es gelöscht wurde. „Wir müssen diese Dokumente in einem anderen Archiv wieder verfügbar machen“, sagte der Beamte, der anonym bleiben wollte, um über eine sich entwickelnde Situation zu sprechen. Solche „Wiper“-Angriffe sind selten, und dieser hat Beamte in anderen Staaten alarmiert, als sich das Wort verbreitete. Einige Sicherheitsunternehmen sagten, sie hätten keine Löschungen bei den SharePoint-Angriffen gesehen, sondern nur den Diebstahl kryptografischer Schlüssel, die es den Hackern ermöglichen würden, erneut auf die Server zuzugreifen. In Arizona versammelten sich Cybersicherheitsbeamte mit staatlichen, lokalen und Stammesbeamten, um potenzielle Schwachstellen zu bewerten und Informationen auszutauschen. „Es gibt definitiv einen hektischen Ansturm im ganzen Land“, sagte eine mit der Reaktion des Staates vertraute Person. Die Verstöße ereigneten sich, nachdem Microsoft in diesem Monat eine Sicherheitslücke behoben hatte. Die Angreifer erkannten, dass sie eine ähnliche Schwachstelle nutzen konnten, so die Cybersecurity and Infrastructure Security Agency des Department of Homeland Security. CISA-Sprecherin Marci McCarthy sagte, die Agentur sei am Freitag von einem Cyber-Forschungsunternehmen auf das Problem aufmerksam gemacht worden und habe sofort Microsoft kontaktiert. Microsoft wurde in der Vergangenheit dafür kritisiert, zu eng gefasste Fixes herauszugeben, die ähnliche Angriffsmöglichkeiten offen lassen. Das Unternehmen, einer der größten Technologieanbieter für Regierungen, hat in den letzten zwei Jahren weitere große Fehltritte erlebt, darunter Verstöße gegen seine eigenen Unternehmensnetzwerke und E-Mails von Führungskräften. Ein Programmierfehler in seinen Cloud-Diensten ermöglichte es auch China-unterstützten Hackern, E-Mails von Bundesbeamten zu stehlen. Am Freitag erklärte Microsoft, es werde keine in China ansässigen Ingenieure mehr zur Unterstützung von Cloud-Computing-Programmen des Verteidigungsministeriums einsetzen, nachdem ein Bericht des investigativen Mediums ProPublica die Praxis aufgedeckt hatte, was Verteidigungsminister Pete Hegseth dazu veranlasste, eine Überprüfung der Cloud-Verträge des Pentagon anzuordnen. Das gemeinnützige Center for Internet Security, das eine Informationsaustauschgruppe für staatliche und lokale Regierungen betreut, informierte etwa 100 Organisationen darüber, dass sie gefährdet und möglicherweise kompromittiert seien, sagte Randy Rose, Vizepräsident der Organisation. Zu den gewarnten Organisationen gehörten öffentliche Schulen und Universitäten. Der Prozess dauerte sechs Stunden am Samstagabend – viel länger als sonst, da die Bedrohungsintelligenz- und Vorfallreaktionsteams um 65 Prozent gekürzt wurden, als CISA die Finanzierung kürzte, sagte Rose. Trotz der Tatsache, dass CISA von einem amtierenden Direktor geleitet wird, da der Kandidat Sean Plankey noch nicht bestätigt wurde, arbeiten die Beamten der Agentur „rund um die Uhr“ an dem Problem, sagte McCarthy. „Niemand hat geschlafen.“ Weitere betroffene Organisationen waren eine Regierungsbehörde in Spanien, eine lokale Behörde in Albuquerque und eine Universität in Brasilien, sagten Sicherheitsforscher.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!