Sicherheitsforscher: Microsoft-Cloud verteilt zu leichtfertig Malware

Microsoft steht in der Kritik von Sicherheitsforschern, weil der Konzern Malware, die bei OneDrive und Office 365 gehostet wird, nicht schnell genug entferne. Laut Insidern gibt es trotz Microsofts oft beworbener Security-Kompetenz keine automatisierten Systeme, welche die Schadcode-Nester ausräuchern. Es steht der Vorwurf im Raum, dass Microsoft hier deutlich langsamer agiere als die Konkurrenz, etwa bei Google.

Kriminelle hosten ihren Schadcode gerne auf den Cloud-Plattformen großer Anbieter wie Microsoft, Google oder Amazon. Denn eine OneDrive-, Office- oder Google-Drive-Domain sieht für viele Nutzer vermutlich vertrauenswürdiger aus, als eine URL mit einer chinesischen oder russischen Domain, die der Anwender vorher noch nie gesehen hat.

"Bester Malware-Hoster der letzten zehn Jahre"

Losgetreten hat die Diskussion der anonyme IT-Sicherheitsspezialist TheAnalyst auf Twitter. Dieser hatte sich darüber gewundert, dass hunderte von Instanzen der Malware Bazar Loader, die vor allem dafür genutzt wird, die Erpresser-Software Conti nachzuladen, für Tage ungestört auf Microsoft-Servern herumliegen und so Rechner auf der ganzen Welt infizieren. Daten dazu, wie lange Microsoft im Schnitt braucht, um Malware zu entfernen, zog TheAnalyst aus dem Project URLhaus des Instituts für Cybersecurity und Engineering (ICE) der Berner Fachhochschule. URLhaus hat Statistiken dazu, wie lange Hosting-Provider im Schnitt brauchen, um vom Projekt gemeldete Malware zu entfernen. Denen lässt sich entnehmen, dass Microsoft dabei oft mehrere Tage ins Land ziehen lässt.

Der Sicherheitsforscher Kevin Beaumont (wohl besser bekannt als GossiTheDog), der bis vor Kurzem als Senior Threat Intelligence Analyst bei Microsoft gearbeitet hatte, nahm die Diskussion auf und ging hart mit der Firma ins Gericht. "Lustigerweise haben wir bei MS eine Pipeline gebaut, die Google Drive darüber informiert, Bazarloader-Links zu entfernen. Deswegen ging das da so schnell (buchstäblich innerhalb von Minuten). Jetzt sind [die Kriminellen] auf die Microsoft-Infrastruktur umgezogen, wo es eine solche Pipeline nicht gibt und wir Office nicht dazu kriegen können, die Dateien zu entfernen", erklärte er in einem Tweet. Microsoft müsse bei der Entfernung von Malware aus der Office- und OneDrive-Cloud deutlich besser werden, so sein Urteil.

Ein hausgemachtes Problem

Das rege ihn vor allem deshalb auf, weil Microsofts eigene Dokumentation empfehle, etwa die fraglichen OneDrive-Domains auf Ausnahmelisten der Sicherheitssoftware zu setzen. "Wie soll man eine Firma in einer solchen Situation noch verteidigen", fragt Beaumont pointiert. Er wies außerdem auf Microsofts PR hin, die tausende Sicherheitsforscher in der Firma bewirbt und die Billionen von Malware-Signale, die verarbeitet werden, hervorhebt. Das alles bringe nichts, wenn Office 365 trotzdem zuhauf Malware hoste. Immerhin, so Beaumont, sei man bei Azure schneller als im Rest der Firma – aber "leider ist Office ein Riesendurcheinander".

Microsoft stellt sich auf den Standpunkt, das alles sei business as usual. "Der Missbrauch von Cloud Storage ist ein branchenweites Problem", erklärte die Firma in einer Stellungnahme gegenüber der britischen IT-Nachrichtenseite The Register. Man arbeite ständig daran, die eigene Situation zu verbessern und die Gefahr zu verringern, die von Microsoft-Diensten ausgehe.

Update 20.10.2021, 11:00: Der Druck der Öffentlichkeit wirkt: Wie Beaumont verkündet, hat Microsoft reagiert und aktuell sind alle bei URLhaus gelisteten Malware-Samples von OneDrive verschwunden.

(fab)