Passkeys sind ein in der IT-Security seltener Glücksfall. Sie machen etwas deutlich sicherer, nämlich das Anmelden bei Internetdiensten. Anders als üblich wird dies aber nicht komplizierter, sondern für den Nutzer sogar bequemer. Im Idealfall genügt ein Fingerabdruck oder ein Blick in die Kamera. Und zwar ohne dabei seine biometrischen Daten an irgendwelche Datenkraken auszuliefern. Das ist so etwas wie der Sechser im Lotto. Theoretisch jedenfalls, in der Praxis fällt der Gewinn dann doch kleiner aus.

Der größte Stolperstein auf dem Weg zum Hauptgewinn ist bisher der Vendor-Lock-in: Passkeys leben in den Ökosystemen der großen Anbieter Apple, Google und Microsoft. Innerhalb derer werden sie auch automatisch über Gerätegrenzen hinweg synchronisiert: Mein auf dem iPhone erstellter Passkey für Dienst XYZ funktioniert quasi sofort auch auf meinem MacBook. Ich kann mich dort sofort mit einem Fingerabdruck anmelden (der dabei übrigens nur lokal verwendet wird). Aber wenn ich mich auf meinem Windows-Arbeitsplatz bei XYZ anmelden will, schaue ich in die Röhre. Das ist schlicht nicht vorgesehen.

Doch da zeichnet sich Besserung ab: Apple stellt offiziell Funktionen zum Im- und Export von Passkeys vor, die genau das ermöglichen sollen. Das ist auch kein Alleingang, sondern ist eingebettet in eine Initiative der FIDO-Allianz, die mit dem Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF) die notwendigen Standards dafür schuf. Und Google baut offenbar ebenfalls schon Import-/Export-Funktionen für Passkeys in Android ein. Auch wenn es da noch keine offizielle Timeline gibt – das ist ein gutes Zeichen.

Fehlt also einmal mehr nur noch Microsoft. Die hinkten bei den Passkeys bereits mehrfach hinterher – etwa mit dem Versprechen, diese nur Ende-zu-Ende-verschlüsselt zu synchronisieren, ohne dass eine Kopie bei Microsoft landet. Doch angesichts der Tatsache, dass auch sie die Integration mit Android und iPhones benötigen, rechne ich nicht damit, dass sie sich da querstellen. Oder, Microsoft? Oder?

(ju)

Für die kritische Sicherheitslücke CVE-2025-53770 mit dem Spitznamen „Toolshell“ gibt es nun weitere Patches. Microsoft veröffentlichte eine Aktualisierung für SharePoint Enterprise Server 2016 sowie für die englischen Sprachpacks dieser und der 2019er-Edition. Damit sind alle aktuell unterstützten SharePoint-Versionen geflickt – was bitter nötig war: Groß angelegte Angriffskampagnen laufen bereits seit Tagen.

Das Microsoft Security Response Center (MSRC) pflegt einen ausführlichen Überblicksartikel zur Toolshell-Lücke und kündigte dort am Montag die Sicherheitsaktualisierungen an. Die folgenden Updates sind jetzt über Microsoft Update, den Microsoft Update-Katalog oder das Microsoft Download Center erhältlich.

Der Satz gerinnt beinahe zur Floskel, dennoch: Administratoren von „on-premises“, also im Unternehmen betriebenen SharePoint-Servern sollten die Aktualisierungen zügig einspielen. Angriffskampagnen laufen bereits und Berichten zufolge sind über 100 Organisationen kompromittiert.

Schlüssel rotieren, Server im Auge behalten

Doch mit dem Update ist es nicht getan, denn der SharePoint-Server könnte bereits erfolgreich von Angreifern übernommen worden sein. Daher drängt Microsoft auf zusätzliche Maßnahmen:

1. Der Antimalware-Scan (AMSI) in SharePoint sollte angeschaltet und, wenn möglich, der „Full Mode“ zur vollständigen Überprüfung von HTTP-Anfragen aktiviert sein.
2. Microsoft Defender vor Endpoint und Microsoft Defender Antivirus helfen mit spezialisierten Signaturen wie „Exploit:Script/SuspSignoutReq.A“ ebenfalls bei der Erkennung und Beseitigung.
3. Die „Machine Keys“ sollten unbedingt ausgetauscht werden – ansonsten können Angreifer womöglich dauerhaft ihren Schadcode auf dem SharePoint-Server ausführen. Microsoft hat dafür zusätzliche Tipps in seinem Sicherheitshinweis veröffentlicht.

Eine umfangreiche Liste mit „Indicators of Compromise“, also Hinweisen auf einen erfolgreichen Angriff, pflegt das Sicherheitsunternehmen Eye Security in seinem Blogartikel zu der Toolshell-Lücke. So sollten Systemverwalter nicht nur verdächtige Dateinamen, sondern auch bestimmte HTTP-Anfragen (wie etwa POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx)und -User-Agents im Auge behalten. Der Sicherheitsforscher Florian Roth weist zudem darauf hin, dass diese Indikatoren sich bei der nächsten Angriffswelle ändern könnten.

Ältere Lücken nicht vollständig gepatcht

Die Sicherheitslücke „Toolshell“ ist eine Variante zweier kurz zuvor gepatchter Lücken aus dem Sicherheitswettbewerb „Pwn2Own“, der dieses Jahr in Berlin stattfand. Microsoft gibt in den FAQ zu CVE-2025-53770 zu, bei der Behebung dieser Lücken (CVE-2025-49704 und CVE-2025-49706) nicht gründlich genug gearbeitet zu haben: „Ja, das Update [für die neuere der Lücken] enthält robustere Schutzmaßnahmen als das Update für [die jeweils ältere Lücke]“, heißt es beim MSRC.

(cku)

Noch bevor Microsoft die ersten Patches für die schwere Sicherheitslücke „ToolShell“ in selbst gehosteten Versionen von Sharepoint veröffentlicht hat, sind die Installationen von etwa 100 Organisationen kompromittiert worden. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf das Sicherheitsunternehmen Eye Security, das die Lücke publik gemacht hat und die Angriffe darauf analysiert. Derweil ergänzt die Washington Post unter Berufung auf Googles Sicherheitsabteilung Mandiant, dass mindestens einer der Akteure, die für die erste Angriffswelle verantwortlich waren, nach China zurückverfolgt worden sei. Die meisten kompromittierten Installationen haben sich einer dieser ersten Analysen zufolge in den USA und Deutschland befunden.

Das Vorhandensein der kritischen Sicherheitslücke in den on-premise-Versionen von Sharepoint wurde am Wochenende von Microsoft publik gemacht. Schon da erklärte der US-Konzern, dass man von Angriffen auf die verwundbaren Server wisse, einen Patch gab es anfangs aber nicht. Microsoft erklärte lediglich, dass man sich mit „Microsoft Defender Antivirus“ schützen solle. Später waren für zwei Sharepoint-Versionen die ersten Updates verfügbar gemacht worden, deren Installation alleine reicht aber nicht für eine Absicherung. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net „Machine Keys“ rotiert werden müssen, was mit einem IIS-Neustart einhergeht.

Während Microsoft, die Verantwortlichen der Sharepoint-Installationen und die IT-Sicherheitsbranche weiter mit der Absicherung beschäftigt sind, läuft die Suche nach denjenigen, die sich die Lücke zunutze gemacht haben. TechCrunch zitiert einen IT-Sicherheitsexperten, der beobachtet hat, dass sich die ersten Angriffe gegen eine vergleichsweise kleine Zahl von Zielen gerichtet haben. Nach dem Bekanntwerden der Lücke dürften sich längst viel mehr an den Angriffsversuchen beteiligen. Mehrfach war die Rede von etwa 9000 bis 10.000 verwundbaren Sharepoint-Instanzen vor der Verfügbarkeit der Patches. Zu den ersten Opfern gehörte ein großes Energieunternehmen und mehrere Regierungseinrichtungen in Europa, zitiert die Washington Post noch Erkenntnisse von Eye Security.

(mho)