Seite 3: Undurchsichtig: Hafnium und Exchange Online

Inhaltsverzeichnis

Es gibt andere Beispiele aus anderen Bereichen. Als Hafnium – eine nach der Hafnium-Gruppe benannte, hochgefährliche Schwachstelle in Microsoft Exchange – akut wurde, gab es seitens Exchange Online schnell Entwarnung. Im offiziellen Blog-Beitrag von Microsoft hieß es schlicht, Exchange Online sei nicht betroffen. Diese winzige Aussage hat ihre Wirkung bei den Kunden vermutlich nicht verfehlt. Allerdings ist sie nicht ganz vollständig. Denn auch Cloud-Kunden waren nicht sicher, wenn sie hybrid agierten und noch lokale nach außen veröffentlichte Exchange-Server im Rechenzentrum stehen hatten.

Schnell wurde klar, dass weltweit enorm viele Installationen betroffen waren – und leider sogar teils heute noch sind. Hier überraschte Microsoft positiv: Nicht nur wurden die benötigten Sicherheitsupdates auch für einige ältere Exchange-CU-Stände verfügbar gemacht, auch erblickte AMSI für Exchange (Antimalware Scan Interface) das Licht der Welt – und zwar für alle Exchange 2016 und 2019 Kunden, egal ob Hybrid oder nicht. Per AMSI-Technik können lokale Antischadsoftware-Systeme, sofern sie dies unterstützen, den Exchange-Web-Datenverkehr in Echtzeit überprüfen und bei Bedarf stoppen. Der hauseigene Windows Defender bietet dies zum Beispiel. Somit können Gefahren – wenn sie denn als solche erkannt werden – bereits auf Protokollebene gestoppt werden, noch bevor sie die Exchange-Prozessebene erreichen.

Haben wir dann vielleicht die neue AMSI-Technik im Exchange-Umfeld oder zumindest deren schnelle Veröffentlichung Hafnium zu verdanken? Die Frage muss unbeantwortet bleiben. Fakt ist jedenfalls, dass man das Juni-Exchange-CU vom 15. auf den 29. Juni verzögerte, um AMSI noch mit unterzubringen.

Kein einmaliger Vorfall

Wer nun glaubt, Hafnium sei eine einmalige Sache gewesen, dürfte falsch liegen. Hafnium ist vermutlich nur die Spitze eines Eisbergs und es ist durchaus möglich, dass man sich in Zukunft auf ähnliche Exchange-Exploits einrichten muss. Ein Blick auf die aktuelle Forschung des Sicherheitsexperten Cheng-Da „Orange“ Tsai lässt nichts Gutes erwarten. Und Menschen wie ihm ist es unter anderem zu verdanken, dass die Betreiber und auch Hersteller deutlich höher sensibilisiert werden.

Gleichzeitig sollte man sich als interessierte Person was diese Angriffe angeht einmal mindestens die letzte Forschung von ihm – genannt ProxyShell – anschauen. Diese liest sich sehr spannend. Zum Beispiel konnte Tsai für einen wichtigen Zwischenschritt den benötigten Code als simple SMTP-Mail schicken, um dann die ganze Mailbox als PST lokal zu extrahieren, zu dekodieren, und dann schließlich den Code zur Ausführung zu bringen. Auf sowas muss man erst mal kommen. Unklar ist jedoch, ob auch Exchange Online über ähnliche Mechanismen heute oder in der Zukunft angreifbar sein könnte.

Tatsächlich weiß man im Prinzip nichts darüber, warum oder unter welchen Umständen Exchange Online von Hafnium nicht betroffen war. Vielleicht ist Microsoft bei dessen Codebasis schon Meilen voraus und diese hat mit lokalen Installationen nur noch wenig gemein. Aber dies wäre reine Spekulation.

In Zukunft zweite Klasse

Was man jedoch relativ eindeutig beantworten kann: Wie man es auch dreht und wendet, Azure- und 365-Kunden sitzen bei Microsoft in der ersten Reihe und der wirtschaftliche Erfolg gibt Microsoft recht. Nur sollte man sich vielleicht in Redmond einmal die Frage stellen, ob das wirklich alles ist und ob man den aktuellen gefühlten harten Kurs wirklich weiter so vorantreiben möchte. Wenn die letzten Jahre bis heute erst der Anfang waren, wie sieht Nadellas Vision dann für die Zukunft aus?

Man könnte doch beides tun – seine Cloud-Umgebung weiter stärken, aber zumindest wichtige Sicherheitsfunktionen- und Techniken auch ohne obligatorisches Azure und 365 ermöglichen. „Unsere Branche respektiert nicht die Tradition, sondern nur die Innovation“ – diese Worte hat Satya Nadella in seiner ersten Mail als CEO an alle Mitarbeiter gerichtet. Das mag stimmen, aber warum ohne Not wichtige Funktionen einschränken, wenn man mit ein wenig Entgegenkommen bessere Zufriedenheit und trotzdem gute Zahlen einfahren kann?

(fo)