Microsoft steht erneut im Fokus eines massiven Cyberangriffs – diesmal mit globaler Tragweite. Betroffen ist die SharePoint-Software, die weltweit in Behörden und Unternehmen im Einsatz ist. Noch immer gibt es für viele Versionen keine vollständige Lösung. Was dahintersteckt und warum die Lage ernst ist, erklären wir euch jetzt.
Angreifer haben eine bislang unbekannte Schwachstelle in Microsofts SharePoint-Software ausgenutzt, um in zahlreiche Systeme weltweit einzudringen. Getroffen hat es unter anderem US-Behörden, Universitäten, Energieunternehmen – und sogar eine asiatische Telekommunikationsfirma. Besonders kritisch: Die Attacke betrifft vor allem lokal gehostete Server. Die Cloud-Versionen wie Microsoft 365 sind laut Microsoft nicht betroffen.
Das steckt hinter dem Angriff
Sicherheitsforschende sprechen von einem "Zero-Day"-Angriff – also einem Exploit, der bislang nicht bekannt war und somit auch nicht abgesichert werden konnte. Über SharePoint-Server erhalten die Angreifer potenziell Zugriff auf zentrale Dienste wie Outlook oder Teams. Damit können sensible Daten gestohlen oder Passwörter abgegriffen werden.
Besonders beunruhigend: Einige der Angreifer haben offenbar kryptografische Schlüssel erbeutet, die ihnen auch nach einem Update den erneuten Zugang zu kompromittierten Systemen ermöglichen.
Microsoft hat inzwischen für eine Version der Software ein Update veröffentlicht – für zwei weitere steht ein Patch jedoch noch aus. Die Empfehlung lautete zunächst, betroffene Server vorsichtshalber vom Netz zu nehmen oder manuell abzusichern. Eine endgültige Entwarnung gibt es allerdings nicht. Experten wie Adam Meyers von der Sicherheitsfirma CrowdStrike sprechen von einer "signifikanten Sicherheitslücke", die weltweit zehntausende Server betreffen könnte.
Noch keine Spur der Täter
Wer genau hinter dem Angriff steckt, ist bislang unklar. Hinweise führen in verschiedene Richtungen – von China über die USA bis nach Europa. Laut Sicherheitsunternehmen Eye Security wurden bereits über 50 Organisationen kompromittiert. Darunter auch eine europäische Behörde, eine Universität in Brasilien und ein Ministerium in Spanien.
Die US-Behörde für Cybersicherheit CISA sowie Partner in Kanada und Australien haben die Ermittlungen aufgenommen. Auch das FBI ist eingeschaltet. In Arizona etwa tauschen sich derzeit IT-Teams von Bundesstaat, Kommunen und indigenen Behörden aus, um ihre Systeme abzusichern.
Währenddessen arbeitet Microsoft weiter an Updates – und sieht sich erneut mit Kritik konfrontiert: Schon in der Vergangenheit hatte der Konzern Patches veröffentlicht, die zu eng gefasst waren und ähnliche Schwachstellen offenließen.
Derzeit ist klar: Wer SharePoint-Server lokal betreibt, sollte schnellstens handeln. Denn die Hacker könnten schon längst drin sein – und sich tief im System eingenistet haben.
Transparenz:Wir verwenden sog. Affiliate-Links. Kauft ihr etwas, erhalten wir ggf. eine Provision. Ihr zahlt dafür keinen Cent extra, unterstützt aber die Arbeit der CURVED-Redaktion.