Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.

Schadcode-Schlupfloch

Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 „hoch„), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.

Um Systeme gegen die geschilderte Attacke zu rüsten, müssen Admins in der Warnmeldung verlinkte Special Builds installieren.

Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.

Weitere Gefahren

Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):

(des)

Eine Sicherheitslücke im WordPress-Theme Alone macht damit ausgestattete Websites verwundbar. Angreifer nutzen die „kritische“ Lücke bereits aus und führen Schadcode aus. Eine dagegen abgesicherte Version steht zum Download bereit.

Backoor-Attacken

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Sie geben an, in der Spitze mehr als 120.000 Angriffsversuche beobachtet zu haben. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2025-5394) an, können sie ohne Authentifizierung aufgrund von mangelnden Überprüfungen Zip-Dateien mit Schadcode hochladen und ausführen.

Die Forscher erläutern, dass Angreifer versuchen, mit Schadcode verseuchte Plug-ins auf erfolgreich attackierten Websites zu installieren, um Hintertüren einzurichten. Admins sollten also nach ihnen unbekannten Plug-ins Ausschau halten.

Die Entwickler geben an, das Sicherheitsproblem in Alone – Charity Multipurpose Non-profit WordPress Theme 7.8.5 gelöst zu haben.

(des)

Erst im vergangenen April legte Microsoft einen Bericht vor, bei dem sich der Konzern für die Umsetzung von Maßnahmen feierte, die für mehr Sicherheit im Unternehmen und dessen Produkten sorgen sollten. „Secure by Design“, „Security first“ – das komplette Programm. Das war eine Reaktion darauf, dass zuvor eine offizielle Untersuchungskommission (das Cyber Safety Review Board) dem Unternehmen systematische Schlamperei bei der IT-Sicherheit nachgewiesen hatte.

Mit der Secure Future Initiative (SFI) sollte das alles besser werden und die Berichte sahen tatsächlich vielversprechend aus. Doch jetzt ist es an der Zeit, „Bullshit“ zu rufen. Die SFI erwies sich als genau die potemkinsche Security-Fassade, die viele Experten befürchtet hatten.

Anlass für diese ernüchternde Bilanz sind zwei Ereignisse, die einen Blick hinter die Kulissen erlauben – und enthüllen, dass sich da gar nichts geändert hat: Microsoft schlampt bei der Sicherheit und ignoriert Security-Vorgaben, wenn es größere Gewinne verspricht.

Das Sharepoint-Fiasko

Im Mai servierten zwei vietnamesische Sicherheitsforscher zwei kritische Sicherheitslücken in Microsofts Sharepoint-Server auf dem Silbertablett – inklusive beispielhafter Exploits, die demonstrieren, wie man damit Server komplett übernehmen kann. Nicht nur, dass Microsoft fast zwei Monate benötigte, um am 8. Juni Patches zu veröffentlichen, die diese Lücken beseitigen sollten. Der Patch für CVE-2025-49706 erwies sich als so stümperhaft, dass er sich durch das einfache Anhängen eines / an eine URL umgehen ließ. Auch der andere Patch erwies sich beim genaueren Hinschauen als dilettantischer Hotfix. Das Resultat: Mehrere Angreifergruppen nutzten diese Lücken, um Sharepoint-Server zu kapern. Sie übernahmen Hunderte von Servern und Ransomware-Banden werden noch auf Monate hinaus von diesem Reservoir an leicht zu erntenden Früchten profitieren.

Microsoft besserte am 20. Juli gezwungenermaßen nach und versorgte Sharepoint mit neuen Software-Flicken. Doch das Einspielen der neuen Sicherheits-Updates sorgte weiterhin nicht dafür, dass zuvor kompromittierte Systeme sicher wären. Dazu musste man nämlich zumindest den sogenannten MachineKey des IIS-Servers ändern. Sonst haben die Angreifer mit dessen Hilfe weiterhin Zugang. Warum das Sicherheits-Update diese unbedingt zu treffende Maßnahme nicht gleich mit angestoßen hat? Fragen Sie Microsoft! Sie werden wahrscheinlich genauso wenig Antwort bekommen, wie wir auf unsere Fragen zu dieser Sharepoint-Angelegenheit.

Die Cloud-Abzocke

Ich könnte noch stundenlang über zu dieses Sharepoint-Desaster und die dabei demonstrierte, selbst verschuldete Unfähigkeit in Security-Dingen wettern – doch weiter zum zweiten Datenpunkt, der Microsofts schon unverschämte Gier demonstriert: die sogenannten „digital Escorts“. Eigentlich hat die US-Regierung strikte Vorgaben für Anbieter, die US-Behörden Cloud-Dienste anbieten wollen. Das Federal Risk and Authorization Management Program (kurz FedRAMP) schreibt vor, dass sich um die Server, die diese Dienste bereitstellen, speziell geschultes Personal kümmern muss. Und weil die Daten darauf vertraulich und sicherheitsrelevant sind, müssen diese Administratoren auch eine spezielle Sicherheitsfreigabe vorweisen, die ausschließlich US-Bürger bekommen.

Solches Personal ist dünn gesät und entsprechend teuer. Es ist nicht so, dass man sich das nicht leisten könnte – diese FedRAMP-Staatsaufträge werden gerade wegen der geforderten Qualität überaus gut bezahlt – das sind die Filetstücke im Cloud-Markt, nach denen sich alle Cloud-Anbieter die Finger lecken. Was macht aber Microsoft? Wie ProPublica kürzlich aufdeckte, engagierten sie billige Admins mit den notwendigen Zertifikaten zur Server-Administration im Ausland. Und denen stellten sie Ex-Militärs mit Sicherheitsfreigabe zur Seite, die sie ebenfalls für Minimallöhne engagierten.

Die sollten dann die von den geschulten Admins vorgegebenen Aktionen ausführen. Eigentlich sollten sie dabei auch kontrollieren, was sie da tun. Aber dafür waren sie nicht ausreichend qualifiziert. „Nachgewiesene Kenntnisse in der Verwaltung von Windows-Servern, Domänenservern, unterstützenden Desktops, Desktop-Anwendungen und Active Directory“ sind in einer Stellenausschreibung für einen „DoD Secret Cleared Escort“ lediglich als verzichtbare „Nice to Have „-Fähigkeiten aufgeführt. Letztlich machten sie Copy & Paste von Befehlssequenzen oder führten für sie unverständliche Skripte aus. „Wir vertrauen darauf, dass das, was sie tun, nicht bösartig ist, aber wir können es nicht mit Sicherheit sagen“, zitiert ProPublica einen von ihr befragten Escort.

So spart Microsoft am Personal Millionenbeträge ein und hat den Buchstaben von FedRAMP scheinbar Genüge getan: Nur US-Bürger mit Sicherheitsfreigabe hantieren an den Cloud-Servern von US-Behörden herum. Dass ihnen das jetzt um die Ohren flog, haben sie auch wieder der eigenen Gier zu verdanken. Sie beschränkten sich nämlich nicht auf günstige IT-Fachkräfte aus den Five Eyes oder vielleicht noch der EU. Sie nahmen offenbar die, die am billigsten zu haben waren – sogar wenn die in China lebten. Richtig gelesen: Faktisch administrierten chinesische ITler die Cloud-Server unter anderem des US-Verteidigungsministeriums. Was soll schon schiefgehen?

Jetzt ist natürlich die Empörung groß; sogar US-Verteidigungsminister Pete Hegseth schimpft über „billige chinesische Arbeitskräfte“. Und Microsofts Chief Communications Officer Frank Shaw beteuert, man werde sicherstellen, dass da keine in China ansässigen Ingenieure mehr beschäftigt werden. Aber merke: Nur die Chinesen werden ausgeschlossen; IT-Arbeiter aus Indien, Vietnam und so weiter wären demnach weiterhin okay. Ich warte minütlich auf die Ankündigung, dass man dafür den überforderten Digital Escorts künftig einen speziell trainierten KI-Copilot zur Seite stellen werde.

Mein Fazit

Zwei konkrete Beispiele – aber sicher keine Einzelfälle, sondern Blicke hinter die sorgfältig gezimmerten Kulissen, die belegen: Die Secure Future Initiative ist nur Security-Theater, um den Schein zu wahren, mehr nicht. Wenn es ums Geld geht, ist Microsoft kein Trick mehr zu peinlich, keine Kürzung zu kontraproduktiv und kein Risiko zu hoch – solange es die anderen trifft. Das sollte man als Kunde wissen – und dementsprechend handeln.

Diesen Kommentar schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

(ju)