- Durch eine Sicherheitslücke in SharePoint sind ausländische Hacker in US-Kernwaffenanlagen eingedrungen
- Der Vorfall zeigt, dass es Auswirkungen über ein reines IT-Problem hinaus geben kann und möglicherweise auch operative Umgebungen wie Qualitätssicherungssysteme und SCADA-Systeme betrifft
- Die Unstimmigkeit zwischen IT- und OT-Sicherheit erweist sich als zentrales Problem in der gesamten US-Bundesverwaltung
- Die US-Bundesverwaltung hat für traditionelle IT-Netzwerke Fortschritte bei der Zero-Trust-Strategie gemacht, während die Umsetzung in OT-Umgebungen langsamer vorankommt
- Das Verteidigungsministerium entwickelt Zero-Trust-Kontrollen für OT, und in Zukunft wird eine integrierte Sicherheitsstrategie erwartet, die sowohl IT als auch OT umfasst
SharePoint-Schwachstellen und der Einbruch bei einer US-Kernwaffenanlage
- Mittels einer Schwachstelle in SharePoint kam es zu einem Vorfall, bei dem ausländische Hacker Zugriff auf eine US-Kernwaffenanlage erlangten
- Experte Sovada betont, dass dieser Zugriff auch Verteilsteuerungssysteme der Qualitätskontrolle oder SCADA-Systeme, die für die Steuerung von Strom und Umwelt zuständig sind, beeinflussen kann
- Dieser Vorfall deutet darauf hin, dass es sich nicht nur um eine IT-Sicherheitslücke handelt
IT/OT-Integration und die Lücke in der Zero-Trust-Sicherheit
- Der Vorfall in Kansas City macht die strukturelle Inkohärenz zwischen IT- und OT-Sicherheitspraktiken in der gesamten US-Bundesverwaltung deutlich
- Die US-Bundesverwaltung entwickelt derzeit eine Zero-Trust-Roadmap für bestehende IT-Netzwerke weiter
- In operativen Technologien (OT) ist der Aufbau eines ähnlichen Sicherheitsframeworks jedoch vergleichsweise verzögert
- In jüngster Zeit macht jedoch auch die Entwicklung dieses Betriebstechnologie-(OT)-Sicherheitsframeworks Fortschritte
Der Versuch, IT- und OT-Sicherheit zu vereinheitlichen
- Sovada verweist auf bestehende IT-Management-Tools (Playbooks) für Zero Trust, Netzwerksegmentierung sowie Authentifizierung und Identitätsverwaltung
- Das US-Verteidigungsministerium entwickelt derzeit ein Playbook für Zero Trust in OT-Umgebungen
- Mittelfristig soll eine integrierte Zero-Trust-Governance für IT und OT erstellt werden, mit dem Ziel, eine umfassende Sicherheit über alle Netzwerktypen hinweg zu erreichen
1 Kommentare
Hacker News Kommentar
Wenn ich ein Jobangebot bekomme, ist eines meiner ersten Schritte, den MX-Record der E-Mail-Domain der Firma zu prüfen — so kann ich in einer Sekunde sehen, ob es sich um ein Microsoft-zentriertes Unternehmen handelt.
Wenn es Microsoft ist, ist das für mich ein großes Warnsignal. Microsoft-Produkte sind weit verbreitet, aber rein aus meiner Erfahrung der letzten 20 Jahre: Firmen mit einem MSFT-basierten IT-Stack haben mit hoher Wahrscheinlichkeit eine Engineering-Kultur, die mir nicht gefällt.
Dass nur Outlook, SharePoint oder Teams genutzt werden, macht ein Unternehmen nicht automatisch schlecht, aber ich sehe es als starken Indikator für eine schwache technische Kultur an, stärker als manche Interviewfrage, daher verwende ich diese Methode immer noch.
Es kann für Microsoft-zentrierte Engineers grob wirken; das tut mir wirklich leid. Das Problem liegt bei mir.
Wenn man es so denkt, klingt man ehrlich gesagt wie ein Mitarbeiter mit Problemen.
Firmen ohne Microsoft nutzen meistens Google, und aus meiner Erfahrung ist es dort oft sogar schlimmer.
Aus der Zusammenarbeit mit Microsoft-Gegnern habe ich erfahren, dass solche Leute das von der Firma gewählte Werkzeug oft nicht nutzen und dem Team ständig im Weg stehen.
(Nebenbei: Ich weiß nicht, warum die Bewertung meiner alten Beiträge plötzlich so gesunken ist.)
Wenn ein Unternehmen Mac-Notebooks stellt, ist das für mich ein positives Signal; stellt es Windows-Notebooks, ist es negativ.
Die beste Firma, in der ich je gearbeitet habe, stellte jedem Software-Ingenieur ein MacBook und einen Linux-Desktop als Standardausstattung bereit.
Vollkommen nachvollziehbar. Ich habe in beiden Umgebungen gearbeitet, und in einer MS-Umgebung würde ich nur mit siebenstelligem Gehalt wieder arbeiten.
Ich habe das Gefühl, dass wenig Respekt für Arbeit (z. B. H1B-Missbrauch) und Microsoft-Umgebungen oft zusammengehören.
Weil ich in Kalifornien war, habe ich besonders ein mangelndes Ansehen für lokale Talente und Beschäftigte erlebt.
Es herrscht ein Klima, das Gewerkschaften oder sogar ganze Staaten schnell abbaut.
Diese Umgebung ist wirklich extrem schlecht.
Sie vermittelt den Eindruck, Software und Computer seien ohnehin zweitrangig – und diese Kultur scheint sich auch auf die Menschen auszuwirken, die Software entwickeln.
Bei solchen Themen höre ich oft „Microsoft ist mies“, aber dabei wird die geschäftliche Logik dahinter kaum bedacht.
„Verwendet kein Exchange“ – aber welche Alternative wäre denn geeignet? 15 oder 150.000 Nutzer?
Ich habe einmal einen Exchange-Cluster für rund 70.000 Nutzer betrieben. Gibt es eine Mail-Software, die ein redundantes, nicht geteiltes Storage-System mit einem einzigen Endpunkt ersetzen kann?
Zwei weitere RCEs (Remote Code Execution) in SharePoint? Überraschend ist das nicht; die Software ist von Natur aus kein Knaller.
Trotzdem skaliert sie unter hoher Last ziemlich robust. Viele Open-Source-Lösungen tun im kleinen Maßstab gut, brechen im großen jedoch oft ein.
Ich verstehe auch, dass Open-Source-Entwickler keine Lust haben, kostenlos diese langweiligen, technisch unerfahrenen Anwender betreuenden Tools zu pflegen.
Und Microsoft-Software bietet zumindest ein Maß an Rückwärtskompatibilität. In Unternehmen finden sich Legacy-Dokumente wie veraltete Lebensläufe oder Excel-Dateien mit Makros, die seit Jahrzehnten unberührt sind.
Dabei leidet zwar die Registry ein wenig und die Sicherheit auch, aber ein Excel-Makro aus 1997 läuft immer noch. Ich glaube, dass man kaum eine Office-Alternative mit so einer Kompatibilität wie MS Office findet.
Der Punkt ist: Microsoft hat ein echtes Gordian-Knoten-Problem, und eigentlich bleibt nur „Schluss mit Rückwärtskompatibilität, alles upgraden“.
Inzwischen meldete mich vor Jahren eine Firma, um eine mit Exchange Web Services gebaute Lösung erneut zu updaten. In Office 365 wurde EWS abgeschaltet, also musste alles auf GraphAPI umgestellt werden.
Ich glaube, der Beitrag hebt vor allem die Vorteile von Exchange-lastigen Microsoft-Produkten hervor, aber der aktuelle Vorfall dreht sich um SharePoint.
Wie Microsoft mit Exchange und ähnlichen Diensten ihre „Grenzverteidigung“ aufbaut, ist vergleichbar mit Windows.
Meine eigentliche Frage ist, warum alle Unternehmen das gesamte Microsoft-Ökosystem wählen. Gerade bei Web-Technologien ist Microsoft wirklich katastrophal, und SharePoint ist dort besonders schlimm.
Es scheint trotzdem viele Implementierungen großer Mail-Systeme wie Postfix/Dovecot zu geben.
Erfahrungsbericht zum Aufbau großer Mailserver auf Reddit
Wenn wieder von RCE in SharePoint die Rede ist, heißt das für mich nicht automatisch, dass die Software per se schlecht ist.
Letztlich ist das doch im Grunde nur ein Dateiaustauschserver (habe ich selbst nicht genutzt).
Samba- oder FTP-Server sollten bei großen Datenmengen ebenfalls funktionieren; oft ist es eher die Oberfläche, die fehlt.
Ich frage mich, wie frühere Waffenproduktionsstätten ohne solche Systeme gearbeitet haben.
Wie viele Unternehmen brauchen wirklich Exchange für 150.000 Nutzer?
Bei normalen Herstellungsbetrieben dürfte diese Größe ziemlich selten sein.
Open-Source-Entwickler übernehmen solche Nischen-, langweiligen Softwareprojekte für technisch unerfahrene Nutzer selten. Der Staat könnte genau solche Entwickler beauftragen, damit sie Open Source für den öffentlichen Nutzen entwickeln.
Die US-Regierung hat unter der Obama-Administration mit „18F“ genau das in kleinen Dosen schon geschafft.
Selbst bei notorisch problematischen Bereichen wie Steuererklärungsprogrammen wurde effektiv gearbeitet, bis Trump nach seiner zweiten Amtszeit diese Organisation direkt wieder abgeschafft hat.
(Zur Einordnung: Geschichte und Werte von 18F, Lawfare: Lehren aus dem Erbe von 18F)
Ich verstehe nicht, wie man solche Systeme in kritischen nationalen Einrichtungen wie Nuklearanlagen installiert. Wie kann man dort Produkte wie SharePoint einsetzen, die mit vertraulichen Informationen verbunden sind?
Selbst inklusive MS Office 365, Teams und Edge.
Hier sollte die Sicherheitsstrategie sofort neu aufgebaut werden.
Dazu gibt es wirklich schlechte Nachrichten.
Dann interessiert natürlich, welche Alternative man stattdessen einsetzen kann.
Ich habe auch von dem Fall gehört, in dem kritische Unterlagen in einem öffentlichen Resort-Toilettenraum abgelegt wurden ...
Aber hey, so etwas kann man dann ja kostenlos nutzen. /Scherz
Ich hatte früher mal ein Alarmsystem mit Excel „zum Absturz gebracht“.
(Worüber es mir hier geht, ist weniger Microsoft selbst als ein ungewollter Nebeneffekt.)
Ich habe ein Alarmierungssystem betrieben, das anhand von Logs nach dem Keyword
alert_logsucht.Zur Datenverfolgung habe ich ein Excel-Sheet aufgebaut und eines der Blätter
alert_loggenannt.Weil ich die Cloud-Version von Excel nutzte, wurden eingegebene Texte direkt an die Firewall weitergereicht.
Im Firewall-Log erschien daraufhin das Wort
alert_log.Das Benachrichtigungssystem erkannte dieses Keyword im Log und löste ständig Alerts aus.
In der zweiten Meldung tauchte wieder der Firewall-Log-Inhalt auf, wodurch eine Endlosschleife begann.
Systeme können sich unerwartet gegenseitig triggern und Verhalten erzeugen, das niemand vorhergesehen hat.
Deshalb sind Audit, Red Team und Ansätze wie Defense in Depth so wichtig.
syslogexportiert.Für mich ist SharePoint die schlechteste und fehlerreichste Software, die ich je genutzt habe.
Seit Jahren gibt es einen Fehler, bei dem Dateien in Verbindung mit SolidWorks (3D-CAD-Tool) plötzlich nicht mehr geöffnet werden.
Microsoft kennt das Problem; ein Grund, warum es nicht lösbar wäre, ist nicht erkennbar, aber es liegt seit Jahren brach.
Der Microsoft-Cloud-Speicher ist ein Labyrinth, daher ist oft unklar, wo eine gesuchte Datei liegt und ob sie überhaupt funktioniert.
Manche Funktionen laufen nur im Browser, andere nur in der App, und es gibt keine saubere Liste darüber.
Deshalb bin ich sicher, dass es noch viele weitere ausnutzbare Lücken gibt.
Bei aktuellen Microsoft-Produkten, vor allem in der Cloud, erlebe ich bei jeder Nutzung neue Fehlerketten, Bugs und überraschend langsame Abläufe.
Ich suchte kürzlich in 365 nach DKIM für einen neuen Subdomain-Mailversand, und es war eine Qual, die Stelle im Menü zu finden.
Am Ende stellte sich heraus, dass der DKIM-Schlüssel für die Subdomain-E-Mail dennoch beim Root-Domain-Eintrag liegen muss.
Das ist wirklich ineffizient.
Aktuell arbeite ich an einem staatlichen Beschaffungprojekt, dort drängt man auf eine komplette Migration von Slack auf MS Teams.
Wir haben fast 20 Jahre ohne Microsoft-Produkte ausgehalten; bei Großunternehmen und Behörden lernt man, dass die Toleranz für schlechte UX unerschöpflich ist.
Wir synchronisieren Dateien per
rsyncmit dem von Microsoft gehosteten SharePoint.Bei Microsoft-Dateien (z. B. Excel) ändert sich bei Ankunft die interne Metadatenstruktur, wodurch sich die Checksumme ändert und
rsyncdie Datei erneut als geändert erkennt, was dauernde Re-Synchronisation auslöst.In MS Word Online gibt es seit mindestens zwei Jahren in Firefox auf Linux (vielleicht auch auf anderen OS) einen Bug, der Text löscht.
Die erste Aufgabe eines Texteditors ist es, Inhalte im Dokument zu schreiben — genau das klappt nicht, und der Fehler wird nicht behoben.
Schließ ich lieber auf kostenpflichtiges Overleaf um und bringe Nicht-Experten LaTeX oder den integrierten Editor bei.
Die Ausgaben sind schön, Overleaf läuft stabil und ohne Unterbrechung; ich bin sehr zufrieden.
Auch als zahlender Business 365-Kunde empfinde ich die Prioritätensetzung bei Microsoft als absurd.
Offizielles Q&A zum Bug, bei dem Text in der Webversion von Word gelöscht wird
Microsoft-Dienste wie SharePoint scheinen im Inneren extrem wichtig zu sein, werden aber wie ein vergessenes Problemkind behandelt.
Wenn SharePoint wirklich so schlecht ist, warum gibt es nicht massenhaft größere Missbrauchsfälle?
Ich betreue viele Fortune-500-Unternehmen, und nach meinem Gefühl nutzen über 90 % SharePoint.
Natürlich variiert die Implementierung stark, aber bei sauberer Umsetzung ist es absolut brauchbar.
Auch wenn es bessere Alternativen gibt, ist der Betrieb von 5 bis 10 verschiedenen Vendor-Lösungen oft aufwendiger.
Ich kann die Abneigung gegen Teams nicht nachvollziehen.
Ich nutze Zoom, Slack, Discord und andere Collaboration-Tools, aber Teams deckt für viele Arbeitsbereiche alles ab – Termine, Meetings, Aufzeichnungen, Copilot-Nutzung.
Die Echtzeit-Multi-Screen-Sharing- und freie Channel-Beteiligung-Funktion von Discord ist fürs Debugging/Pair Programming angenehm, aber Teams erfüllt die Basisanforderungen bereits.
Mit O365/Office 365 wird das „neue“ SharePoint im SaaS-Modell von Microsoft als automatisch im Internet verfügbar propagiert.
Dafür übernimmt Microsoft dafür Update-Management, WAF etc., also Teile der Sicherheit.
Als Anbieter von OT-Systemen sehe ich es immer wieder als Problem, wenn in Purdue Level 5 direkten Schreibzugriff auf Level 1/0 gibt.
(Zusatz: Das Purdue-Modell ist hier näher beschrieben: dieser Link)
Bei diesem Thema fällt mir der MSSQL-Artikel auf howfuckedismydatabase.com ein.
Mit seiner Eigenständigkeit (Oracle ähnlich) ist die Funktionalität und Stabilität allerdings sehr gut.
(Zu neuen Sicherheitsfällen rund um CVE-2025-53770)
Ich denke, jemand, der eine Kernspaltungsanlage ins Internet stellt, sollte im Gefängnis landen.
Nach den Berichten war das Ziel des Angriffs das IT-System; die eigentlichen Betriebsanlagen könnten sogar air-gapped gewesen sein.
Trotzdem lassen sich sensible Produktionsanlagen nicht vollkommen vom Internet trennen.
Die Mitarbeitenden dort brauchen Essen, Büromaterial oder auch Toilettenpapier – gewisse Außeneinbindungen sind also unvermeidlich.