Hacker haben lokale Server mit dem Microsoft Programm Sharepoint angegriffen. Deutsche Firmen sind besonders verwundbar – und es könnte zu weiteren Attacke kommen.

Am frühen Freitagabend meldete sich ein Kunde bei der IT-Sicherheitsfirma "Eye Security". Auf dem hauseigenen Sharepoint-Server, einem Microsoft-Programm zum Teilen von Dokumenten, scheine Schadsoftware installiert worden zu sein. "Unsere Analysten sahen sich das an, aber irgendetwas war seltsam", sagt Vaisha Bernard, Chief-Hacker bei Eye Security. 

Nun ist klar: Was die Analysten beobachteten, betrifft Unternehmen und Behörden weltweit – und besonders viele in Deutschland. Es handelt sich um ein massives Sicherheitsleck beim Techgiganten Microsoft. Der Konzern hat zwar erste sogenannte Patches veröffentlicht, die die Lücke namens "ToolShell" vorerst schließen sollen. Doch wer bereits kompromittiert wurde, ist immer noch gefährdet – und eine zweite Angriffswelle ist wahrscheinlich. 

Im Team von Eye Security fiel die Attacke auf, weil sie nach einer sogenannten aktiven Ausbeutung auf dem Server aussah. Immer mehr Spezialisten nahmen sich des Falles an – ein aktiver "Exploit" mit einem Code, der remote – also nicht vor Ort – ausgeführt wird, das sollte eigentlich gar nicht möglich sein. "Als derselbe Versuch bei einem anderen Kunden auftrat, haben wir sofort gesehen: Das ist ein Massenangriff", sagt Bernard. Es handelte sich um eine Zero-Day-Sicherheitslücke, für die es noch keine Lösung gibt, weil Microsoft sie noch nicht kannte. "Diese sogenannte Exploit-Kette war in der Lage, jeden Sharepoint-Server zu kompromittieren."

Wer ist von den Hackerangriffen auf Microsoft betroffen?

Verwundbar sind Organisationen, die Sharepoint auf eigenen Servern laufen haben – wer Microsoft 365 nutzt, ist nicht betroffen. Am Wochenende sollen die Angreifer bereits in die Systeme von Regierungsbehörden und vielen Unternehmen eingedrungen sein. Die "Washington Post" berichtet, auch zwei Bundesbehörden in den USA seien betroffen. 

IT-Sicherheit Cyberangriffe aus Russland: "Das ist erst der Anfang"

Deutsche Organisationen waren überdurchschnittlich betroffen. Laut Zahlen der gemeinnützigen "Shadowserver Foundation" standen mindestens 104 Server in Deutschland bis Montag ohne Sicherheitsupdate schutzlos im Netz. In allen Fällen hätten Hacker die Möglichkeit gehabt, erfolgreich in die Server einzudringen. Deutschland lag damit hinter den USA auf dem zweiten Platz der Länder mit den meisten verwundbaren Servern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte: "Dem BSI sind rund 200 für diese Schwachstelle verwundbare SharePoint-Instanzen in Deutschland bekannt", so die Behörde. Einige davon gehörten zur Bundesverwaltung. Bei diesen Servern sei die Schwachstelle nach bisherigen Erkenntnissen jedoch bisher nicht erfolgreich ausgenutzt worden.

Weil die Lizenzen für Sharepoint auf lokalen Servern sehr teuer sind, nutzen inzwischen viele Unternehmen und Privatpersonen die Cloud-Variante Microsoft 365. Trotzdem gibt es noch viele betroffene Organisationen. Die Shadowserver Foundation, ein Netzwerk aus IT-Spezialisten, zählt über 9000 über das Internet erreichbare Server – 85 sollen schon kompromittiert sein. Die Dunkelziffer könnte deutlich höher liegen.

"Maschinenschlüssel" im Kern des Problems

Tatsächlich fiel eine ähnliche Schwachstelle erst im Mai bei einem Wettbewerb in Berlin auf. Microsoft veröffentlichte daraufhin Updates, die das Problem beheben sollten. Doch dieses Patch erwies sich als unvollständig – und die Kombination aus zwei Lücken schafft nun ein Einfallstor auf die Server. In einer ersten Phase stehlen die Angreifer die sogenannten Maschinenschlüssel. Damit können sie wiederum Token fälschen, die dafür sorgen, dass die Software sie für vertrauenswürdig hält. Dann können sie Daten stehlen und Passwörter abgreifen – oder Ransomware einsetzen.

Spitzelsoftware Pegasus Hacker lesen bei Whatsapp mit – jetzt müssen sie Millionen zahlen

Die Maschinenschlüssel sind ein Kern des Problems: "Jeder, wirklich jeder konnte Code auf den Servern ausführen, der den Maschinenschlüssel hatte", sagt Bernard. Wenn der Server die letzten zwei oder drei Tage online war und keine Überwachung vorhanden ist, könnten bereits weitere Hintertüren installiert sein. "Wir sehen immer wieder, dass Angreifer nach dem ersten Zugriff jede Menge Schwachstellen hinterlassen – und dann in den kommenden Wochen zurückkommen, um zu sehen, welche noch erreichbar sind. Dann leiten sie die nächste Phase ein." Er hält es für höchstwahrscheinlich, dass viele Organisationen in den kommenden Wochen ein zweites Mal kompromittiert werden.

Wie ernst ist der Vorfall?

Was die Schwachstelle so gefährlich macht: Für Angreifer ist sie sehr leicht zu auszunutzen. Ein Angreifer könne das System ohne Kenntnis der Umgebung vollständig übernehmen, sagt Bernard. "Man muss nur eine Zeile über die Webserver-Schnittstelle senden und sie kann nicht fehlschlagen." Auf der sogenannten CVSS-Skala, die die Schwere einer Sicherheitslücke einstuft, kommt "ToolShell" auf 9,8 von 10 Punkten. Auch das Bundesamt für Sicherheit in der Informationstechnik hält die Bedrohungsstufe für "sehr hoch" und sieht eine "massive aktive Ausnutzung". Anders als bei Phishing-Attacken muss kein Link geklickt werden, Angreifer finden ein offenes Tor vor. "Das ist die schwerwiegendste Art der Verwundbarkeit, die es gibt", sagt Bernard.

Microsoft hat Updates veröffentlicht, die Unternehmen umgehend installieren sollten. Um vor weiteren Angriffswellen besser geschützt zu sein, empfiehlt Bernard außerdem, die Maschinenschlüssel auszutauschen und eine forensische Untersuchung durchzuführen. Die soll mögliche Hintertüren aufspüren. In einem Blog empfiehlt Eye Security, betroffene Server sofort auszuschalten oder zu isolieren. "ToolShell" werde weiterhin ausgenutzt, heißt es dort, "das Risiko ist nicht theoretisch".

Wer steckt hinter dem Hackerangriff?

Die Spur führt Microsoft zufolge nach China. Unter den Angreifern seien bisher drei chinesische Hackergruppen identifiziert worden, so der Software-Konzern. Zwei davon seien für Aktionen im staatlichen Auftrag bekannt. Microsoft beobachtet sie unter den Namen Linen Typhoon und Violet Typhoon. Eine Rückverfolgung auf einzelne Personen ist in diesen Fällen kaum möglich.

Capital ist eine Partnermarke des stern. Ausgewählte Inhalte können Sie mit Ihrem stern+ Abo sehen. Mehr aus Capital finden Sie auf www.stern.de/capital.

  • Microsoft
  • Hackerangriff
  • Cybersicherheit

Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke