Schwere Sharepoint-Lücke: Schon am Wochenende 100 Organisationen kompromittiert

Noch bevor Microsoft die ersten Patches für die schwere Sicherheitslücke „ToolShell“ in selbst gehosteten Versionen von Sharepoint veröffentlicht hat, sind die Installationen von etwa 100 Organisationen kompromittiert worden. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf das Sicherheitsunternehmen Eye Security, das die Lücke publik gemacht hat und die Angriffe darauf analysiert. Derweil ergänzt die Washington Post unter Berufung auf Googles Sicherheitsabteilung Mandiant, dass mindestens einer der Akteure, die für die erste Angriffswelle verantwortlich waren, nach China zurückverfolgt worden sei. Die meisten kompromittierten Installationen haben sich einer dieser ersten Analysen zufolge in den USA und Deutschland befunden.

Das Vorhandensein der kritischen Sicherheitslücke in den on-premise-Versionen von Sharepoint wurde am Wochenende von Microsoft publik gemacht. Schon da erklärte der US-Konzern, dass man von Angriffen auf die verwundbaren Server wisse, einen Patch gab es anfangs aber nicht. Microsoft erklärte lediglich, dass man sich mit „Microsoft Defender Antivirus“ schützen solle. Später waren für zwei Sharepoint-Versionen die ersten Updates verfügbar gemacht worden, deren Installation alleine reicht aber nicht für eine Absicherung. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net „Machine Keys“ rotiert werden müssen, was mit einem IIS-Neustart einhergeht.

Während Microsoft, die Verantwortlichen der Sharepoint-Installationen und die IT-Sicherheitsbranche weiter mit der Absicherung beschäftigt sind, läuft die Suche nach denjenigen, die sich die Lücke zunutze gemacht haben. TechCrunch zitiert einen IT-Sicherheitsexperten, der beobachtet hat, dass sich die ersten Angriffe gegen eine vergleichsweise kleine Zahl von Zielen gerichtet haben. Nach dem Bekanntwerden der Lücke dürften sich längst viel mehr an den Angriffsversuchen beteiligen. Mehrfach war die Rede von etwa 9000 bis 10.000 verwundbaren Sharepoint-Instanzen vor der Verfügbarkeit der Patches. Zu den ersten Opfern gehörte ein großes Energieunternehmen und mehrere Regierungseinrichtungen in Europa, zitiert die Washington Post noch Erkenntnisse von Eye Security.

(mho)