Microsoft hat ältere SharePoint-Versionen außer Gefecht gesetzt. Hacker nutzen dies aus

Hunderte Organisationen weltweit erlitten diese Woche Datenlecks, da eine Reihe von Hackern eine kürzlich entdeckte Schwachstelle in älteren Versionen des Microsoft -Filesharing-Tools SharePoint ausnutzte. Die Serie von Sicherheitslücken verschärft eine ohnehin schon drängende und komplexe Situation: Institutionen, die SharePoint bereits seit langem nutzen, könnten durch die weitere Nutzung des Dienstes einem erhöhten Risiko ausgesetzt sein, während Microsoft den Support für die Plattform zugunsten neuerer Cloud-Angebote einstellt.

Microsoft erklärte am Dienstag, dass neben anderen Akteuren auch mehrere mit China verbundene Hackergruppen die Schwachstelle ausnutzen. Sie tritt insbesondere in älteren SharePoint-Versionen auf, die von Unternehmen selbst gehostet werden. Die neuere, Cloud-basierte SharePoint-Version, zu deren Nutzung Microsoft seine Kunden seit Jahren empfiehlt, ist davon nicht betroffen. Bloomberg berichtete am Mittwoch erstmals, dass eines der Opfer die US-amerikanische Nationale Nuklearsicherheitsbehörde (NSA) ist, die die US-Atomwaffen überwacht und wartet.

Lokale oder selbstverwaltete SharePoint-Server sind ein beliebtes Ziel für Hacker, da Unternehmen sie häufig so einrichten, dass sie dem offenen Internet ausgesetzt sind, und sie dann vergessen oder kein Budget für deren Ersatz einplanen möchten. Selbst wenn Fixes verfügbar sind, versäumt es der Eigentümer möglicherweise, diese anzuwenden. Dies ist jedoch bei dem Fehler, der die Angriffswelle dieser Woche ausgelöst hat, nicht der Fall. Zwar bezieht sich der Fehler auf eine frühere SharePoint-Sicherheitslücke, die beim Hackerwettbewerb Pwn2Own im Mai in Berlin entdeckt wurde, doch der Patch, den Microsoft Anfang des Monats veröffentlichte, war selbst fehlerhaft , sodass selbst Unternehmen, die ihre Sicherheitsvorkehrungen sorgfältig getroffen hatten, davon betroffen waren. Microsoft bemühte sich diese Woche, einen Fix für das Problem zu veröffentlichen, bzw. das, was das Unternehmen in seiner Sicherheitswarnung als „robusteren Schutz“ bezeichnete.

„Bei Microsoft ist es unser Ziel – verankert in der Secure Future Initiative –, unsere Kunden dort abzuholen, wo sie sind“, erklärte ein Microsoft-Sprecher in einer E-Mail-Erklärung. „Das bedeutet, dass wir Unternehmen über das gesamte Spektrum der Cloud-Nutzung hinweg unterstützen, einschließlich derjenigen, die lokale Systeme verwalten.“

Microsoft unterstützt die SharePoint Server-Versionen 2016 und 2019 weiterhin mit Sicherheitsupdates und anderen Fixes. Beide Versionen erreichen jedoch am 14. Juli 2026 das von Microsoft festgelegte „End of Support“. SharePoint Server 2013 und frühere Versionen haben das Ende ihres Lebenszyklus bereits erreicht und erhalten nur noch die wichtigsten Sicherheitsupdates über einen kostenpflichtigen Dienst namens „SharePoint Server Subscription Edition“. Infolgedessen geraten alle SharePoint-Server-Versionen zunehmend in eine digitale Isolation, in der die bequeme Weiternutzung der Software mit erheblichen Risiken und potenzieller Gefährdung für die Benutzer verbunden ist – insbesondere, wenn SharePoint-Server ungeschützt im Internet verfügbar sind.

„Microsoft positionierte SharePoint vor Jahren als sichereren Ersatz für die altmodischen Windows-Filesharing-Tools. Deshalb investierten Organisationen wie Behörden in die Einrichtung solcher Server. Heute laufen sie ohne zusätzliche Kosten, im Gegensatz zu einem Microsoft 365-Abonnement in der Cloud, das ein Abonnement erfordert“, sagt Jake Williams, langjähriger Incident Responder und Vizepräsident für Forschung und Entwicklung bei Hunter Strategy. „Microsoft versucht daher, die Verweigerer durch Gebühren für erweiterten Support zu überzeugen. Wenn Sie jedoch einen SharePoint-Server dem Internet aussetzen, sollten Sie unbedingt auch die Incident Response einplanen, denn dieser Server wird irgendwann ausfallen.“

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) erklärte am Dienstag in einer Richtlinie zu der Sicherheitslücke: „Die CISA empfiehlt, öffentlich zugängliche Versionen von SharePoint Server, die das Ende ihrer Lebensdauer (EOL) oder ihres Service-Endes (EOS) erreicht haben, zu trennen. Beispielsweise sind SharePoint Server 2013 und frühere Versionen am Ende ihrer Lebensdauer und sollten eingestellt werden, sofern sie noch verwendet werden.“

Die weltweite Verbreitung von Microsofts Windows-Betriebssystem hat zu weiteren Situationen geführt, in denen ein langer Abschied Sicherheitsprobleme für verbliebene Nutzer – und andere Organisationen oder Einzelpersonen mit Verbindungen zu einer anfälligen Entität – mit sich brachte. Microsoft hatte mit der langen Nutzerschaft extrem beliebter Windows-Editionen wie Windows XP und Windows 7 zu kämpfen. Doch Legacy-Software stellt für jeden Software- oder digitalen Infrastrukturanbieter eine Herausforderung dar. Anfang des Jahres informierte Oracle beispielsweise Berichten zufolge einige Kunden über eine Sicherheitslücke, nachdem Angreifer eine „Legacy-Umgebung“ kompromittiert hatten, die 2017 größtenteils außer Betrieb genommen worden war.

Die Herausforderung bei einem Dienst wie SharePoint besteht darin, dass er oft als Hilfstool fungiert, ohne jemals im Mittelpunkt der Aufmerksamkeit zu stehen.

„Bei lokaler Software wie SharePoint, die tief in den Microsoft-Identitätsstapel integriert ist, gibt es zahlreiche Angriffspunkte, die kontinuierlich überwacht werden müssen, um kritische Lücken zu erkennen, aufzudecken und zu schließen“, sagt Bob Huber, Chief Security Officer beim Cybersicherheitsunternehmen Tenable.

Auf die Frage nach dem mutmaßlichen Sicherheitsverstoß bei der National Nuclear Security Administration (NNSA) betonte das Energieministerium, dass der Vorfall keine sensiblen oder geheimen Daten betroffen habe. „Am Freitag, dem 18. Juli, begann die Ausnutzung einer Zero-Day-Sicherheitslücke in Microsoft SharePoint, die das Energieministerium, einschließlich der NNSA, beeinträchtigte“, erklärte ein DOE-Sprecher gegenüber WIRED. „Das Ministerium war aufgrund der weit verbreiteten Nutzung der Microsoft M365-Cloud und seiner leistungsstarken Cybersicherheitssysteme nur minimal betroffen. Nur eine sehr geringe Anzahl von Systemen war betroffen. Die NNSA ergreift geeignete Maßnahmen zur Risikominimierung und stellt gegebenenfalls auf andere Angebote um.“

Microsoft reagierte nicht unmittelbar auf die Anfrage von WIRED nach einem Kommentar zum Ablauf der Einstellung von SharePoint Server. Das Unternehmen schrieb am Dienstag in einem Blogbeitrag , dass Kunden unterstützte Versionen von SharePoint Server mit den neuesten Patches auf dem neuesten Stand halten und Microsofts „Antimalware Scan Interface“ sowie Microsoft Defender Antivirus aktivieren sollten.