Nach einer Häufung von schweren Sicherheitsproblemen in Microsoft Produkten in 2023 / 2024 und einem folgenden Tadel durch die US Regierung beschwor man mit der „Secure Future Initiative“ Besserung. Das es sich dabei wiedermal nur um haltloses Marketing-Geschwurbel handelt war zu befürchten. Mit dem Sharepoint-Fiasko im Mai 2025 hat der kopflose Gigant sich aber erneut selbst übertroffen.
Der Patch für CVE-2025-49706 erwies sich als so stümperhaft, dass er sich durch das einfache Anhängen eines / an eine URL umgehen ließ. Auch der andere Patch erwies sich beim genaueren Hinschauen als dilettantischer Hotfix. Das Resultat: Mehrere Angreifergruppen nutzten diese Lücken, um Sharepoint-Server zu kapern. Sie übernahmen Hunderte von Servern und Ransomware-Banden werden noch auf Monate hinaus von diesem Reservoir an leicht zu erntenden Früchten profitieren.
Microsoft besserte am 20. Juli gezwungenermaßen nach und versorgte Sharepoint mit neuen Software-Flicken. Doch das Einspielen der neuen Sicherheits-Updates sorgte weiterhin nicht dafür, dass zuvor kompromittierte Systeme sicher wären. Dazu musste man nämlich zumindest den sogenannten MachineKey des IIS-Servers ändern. Sonst haben die Angreifer mit dessen Hilfe weiterhin Zugang. bei dem über Monate nichts und dann wenig.
Quelle: Jürgen Schmidt @ https://www.heise.de/meinung/Microsofts-Secure-Future-Initiative-Bullshit-10505985.html
Warum es noch immer Menschen gibt, die dieser Firma ihr Vertrauen aussprechen ist mir ein absolutes Rätsel.
Es sind die selben Gespräche, die ich seit Jahren führe. Sie langweilen mich und ich verstehe nicht, was Menschen in Entscheidungspositionen dazu bewegt, weiterhin auf Microsoft zu setzen. Selbst wenn man wie so häufig mit Branchensoftware ein Windows Betriebssystem benötigt um die Fucking MS-SQL oder historisch gewachsenen Access Datenbanken weiterhin zu erhalten. Wie kommt man auf die Idee dann bei Microsoft 365 zu bleiben oder sogar neue Verträge zu unterzeichnen?Vorsatz, Naivität, Ignoranz?
Als Nischen-Wissen kann man das alles nicht mehr bezeichnen, wenn selbst die Tagesschau mittlerweile über Probleme berichtet. Und auch wenn nicht, dann haben Entscheider:innen die Pflicht abzuwägen, kritisch zu hinterfragen sich umfassend zu informieren, anstatt dem ersten IT-Systemhaus bei dem das prunkvolle Label „Microsoft Partner“ irgendwo auf der Webseite thront sein Vertrauen auszusprechen. Das ist deren Aufgabe, dafür werden sie bezahlt. Es gibt Ausnahmen, wirklich! Uns schreiben täglich welche an die entweder raus wollen aus dem goldenen Käfig oder erst gar nicht hinein möchten, weil sie verstanden haben, dass die einzige Antwort auf all das freie und offene Software sein kann.
Genießen Sie den Sommer, solange es noch geht.
