[English]Microsoft kämpft seit einer Woche mit Cloud-Problemen in Exchange Online sowie Microsoft 365 samt der iOS-Outlook-App. Gleichzeitig ist mir gerade die Information zur Schwachstelle CVE-2024-49035 im Microsoft Partner-Portal untergekommen. Nun gibt es Hinweise, dass die Exchange Online-Probleme mit einer Schwachstelle zusammen hängen könnten. Und es gibt den Verdacht, dass Kunden kompromittiert worden sein könnten. Ich fasse mal einige Informationen zusammen, die bei mir als Puzzle-Teile in ein bestimmtes (leider noch unvollständiges) Bild fallen.
Anzeige
Cloud-Probleme: Worum geht es?
Seit dem 1. März 2025 rumpelt es bei den Microsofts Cloud-Diensten. Outlook.com, der Outlook-Client (iOS) die Microsoft 365-Dienste oder Exchange Online sind immer wieder gestört. Ich hatte erstmals im Beitrag Microsoft 365 Störung (1. März 2025) über diese Probleme berichtet.
Erste Lesermeldungen über Probleme sind hier im Blog bereits zum 28. Februar 2025 eingetroffen – siehe beispielsweise die Kommentare zum Blog-Beitrag Probleme beim Zugriff von Outlook auf Exchange Online-Postfächer. Damals habe ich noch nicht so viel auf diese Berichte gegeben.
Aber auch am 6. März 2025 gibt es noch Störungen (siehe Outlook auch am 6. März 2025 gestört). Sowohl die iOS-Mail-App (von Microsoft mehrfach bestätigt) als auch die Samsung Android-Mail-App (von Lesern z.B. hier und hier gemeldet) können weiterhin nicht auf die Exchange Online-Postfächer zugreifen. Auch dieser Kommentar bestätigt massive Probleme beim Zugriff auf Exchange Online Postfächer mit Mail-Clients auf verschiedenen Plattformen.
Microsoft hatte in einer frühen Meldung die Störung zum 1. März 2025 mit einem "verunglückten Update" erklärt. Kann sein, aber ich hatte – ob der andauernden Störung – Zweifel, ob das alles ist.
Anzeige
Im Beitrag Outlook auch am 6. März 2025 gestört hatte ich gefragt, was die Ursache dieser Störung sei. Eine Woche Störung erscheint mir ungewöhnlich. Daher habe ich die Woche bei der Presseabteilung von Microsoft Deutschland explizit nach einem Post Incident Report für die Störung nachgefragt. Da herrscht bisher aber Schweigen im Walde.
Merkwürdige Beobachtungen von Administratoren
Auf Facebook ist mir ein Leserkommentar eines deutschen IT-Dienstleisters zum 4. März 2025 zu einem meiner Posts über die Störung zugegangen (siehe folgenden Screenshot), in dem es heißt, dass bei seinen Kunden Exchange Online keine Mails mehr verschickt. Als Grund wird bei diesen Kunden "The mailbox doesn't exist" gemeldet.
Genau diese Information ist mir auch von anderen Quellen berichtet worden – wo Tenant-Administratoren beobachteten, dass die Postfächer von Exchange Online-Tenants plötzlich weg waren oder die Meldung "Postfach wird eingerichtet" erschien. Das wird auch in diesem Kommentar von Norbert P. so beschrieben.
der Schock zu Beginn der Probleme, dass alle Postfächer des Tenants weg waren, war aber schlimm… da kam die Meldung: "Wir richten ein Postfach ein…" (im exo admin center)
Das legt (aus meiner Sicht) die Vermutung nahe, dass da irgend etwas Tenant-übergreifend bei Microsoft passiert ist und dort ggf. Postfächer wieder "restauriert" werden. Es trifft auch nicht alle Tenants bzw. alle Postfächer eines Exchange Online-Tenants.
Es gab zudem wohl ein vages Gerücht, dass vor der zum 1. März 2025 berichteten Störung Tenant-Administratoren Warnungen bekommen hätten, dass bei den Exchange Online-Tenants der Speicherplatz knapp werde und die Quotas erreicht werden. Es scheint, als ob der Junk-Ordner der Postfächer bei betroffenen Tenants mit SPAM geflutet wurde. Wird dadurch die Quota-Schwelle erreicht oder überschritten, funktioniert das betreffende MS 365-Paket ggf. nicht mehr.
Wäre für mich eine Erklärung, warum Betroffene Tage vor dem 1. März 2025 keine Mails mehr empfangen oder versenden konnten. Im Artikel Probleme beim Zugriff von Outlook auf Exchange Online-Postfächer vom 26. Februar 2025 werden ja "komische Fehlerbilder" (auch "Postfach-Umzüge" auf andere MS-Server) diskutiert, die mit obigen Informationen Sinn ergeben (da wurde von Microsoft was gelöscht, so dass das Postfach wieder funktioniert). Allen Beobachtungen gemeinsam ist, dass es nur einzelne Tenants und oder Postfächer betrifft und dass die Störungen auch "verschwinden können".
The Dark Side of the Moon
Im Sinne des alten Pink Floyd Titels "The Dark Side of the Moon" drehe ich mal die Geschichte etwas weiter und schau auf die dunkle Rückseite des Mondes. Mir ist gerade eine andere Beobachtung untergekommen, die mir einige Erklärungen liefert, obwohl ich nicht alles offen legen kann (manches, was ich in den letzten Tagen vernommen habe, ist noch zu vage, aber scheint was "im Busch" zu sein). Mein Kanarienvogel, den ich hier halte, sagt: "Nein, Microsoft hat mir nicht mit juristischen Schritten gedroht". Microsoft schweigt bisher auf meine Anfrage nach einem Incident Report und meine Nachtigall meint, Redmond könnte mal langsam "Butter bei die Fische geben".
CVE-2024-49035 im Partner-Portal
Ein Leser hat mich – auf Grund meiner Blog-Beiträge zur obigen Störung – auf Mastodon auf einen Post des Sicherheitsforschers Kevin Beaumont hingewiesen. In folgendem Post schreibt Beaumont, dass die US-Sicherheitsbehörde CISA die Schwachstelle CVE-2024-49035 zum Known Exploit Vulnerabilities Catalog (KEV) hinzu gefügt habe (siehe diese Meldung).
Bekannt ist die Schwachstelle CVE-2024-49035 bei Microsoft bereits länger, und zum 26. November 2024 gab es eine Veröffentlichung dazu. Es handelt sich um eine Privilege Escalation Schwachstelle im Microsoft Partner-Portal partner.microsoft[.]com, weil Eingaben nicht ausreichend validiert wurden. Die Schwachstelle ist als Critical (Score 8.7) eingestuft.
Microsoft schreibt, dass eine Sicherheitslücke in der Zugriffskontrolle unter Partner.Microsoft.com es einem nicht authentifizierten Angreifer ermöglicht, seine Rechte über ein Netzwerk zu erweitern. Und die Schwachstelle werde auch ausgenutzt (was aber erst nach der Erstveröffentlichung "nachgeschoben" wurde).
Gleichzeitig gab es Entwarnung, weil dieses CVE sich nur auf eine Sicherheitslücke in der Online-Version von Microsoft Power Apps bezieht. Die Kunden müssen laut Microsoft keine Maßnahmen ergreifen, da die Versionen automatisch über mehrere Tage verteilt werden.
Nur mal laut gedacht: Es gibt eine Schwachstelle, die eine Privileg Escalation im Partner Portal ermöglicht. Dann wird die Online-Version der Microsoft Power Apps gepatcht, die eine Ausnutzung ermöglichten. Frage: Ist die Schwachstelle jetzt weg? Aufklärung müsste Microsoft liefern.
Hat da was doch durchgeschlagen?
Nun kommen wir zum dunklen Teil der Geschichte. Laut obiger Microsoft-Ausführung ist die Schwachstelle CVE-2024-49035 in der Online-Version von Microsoft Power Apps längst entschärft. Mir ist aber ein Gerücht untergekommen, dass in diesem Umfeld möglicherweise doch was nicht koscher sein könnte und Tenant-Administratoren möglicherweise (ungewollt) andere Tenants beeinflussen könnten.
Laut Kevin Beaumont ermöglicht das Partner-Portal partner.microsoft.com den Cloud Solution Providern (CSPs) bewusst den Zugang zu den Umgebungen ihrer Kunden zu erhalten. In diesem Post schreibt er, dass die ungenügende Eingabevalidierung durch die Schwachstelle CVE-2024-49035 die Möglichkeit eröffnete, auf Dinge zuzugreifen, auf die man nicht zugreifen sollte.
Im Thread auf Mastodon schreiben Teilnehmer, dass die Ausnutzung in freier Wildbahn durch Microsoft erst nachträglich, also nach Erstveröffentlichung des Beitrags ergänzt habe. Die Ausnutzung in freier Wildbahn macht die Geschichte nicht besser.
Und dann gibt es den folgenden Post auf Mastodon, wo jemand über das Gerücht berichtet, dass einige Unternehmen glauben, dass ihre Postfächer kompromittiert wurden.
Obiger Post besagt, dass diese Mitteilungen nie ins Detail gingen, aber Sätze wie "Wir haben den Vorfall an Microsoft weitergeleitet, da die Protokolle zeigen, dass das Problem nicht auf unserer Ebene liegt. Die erforderlichen Maßnahmen wurden ergriffen, um die vollständige und sichere Kontrolle über das betroffene Postfach wiederzuerlangen." würden fallen.
Der Ball liegt bei Microsoft – das Ganze ist ggf. DSGVO relevant
Passt ins Bild, was sich hier durch verschiedene Puzzle-Teile ergibt, die ich an verschiedenen Stellen gefunden oder erhalten habe. Für mich deutet sich an, dass etwas Tenant-übergreifend passiert ist. Hier kann Microsoft nur durch vollständige Offenlegung des Sachverhalts Transparenz schaffen.
Die Sache hat für Administratoren im EU-Raum übrigens noch eine besondere Bedeutung. Sollte es eine Schwachstelle in Microsofts Cloud-Diensten geben (wovon ich mit meinen bisherigen Informationen mal stark ausgehe), die Tenant-übergreifende Aktionen auf Exchange Online-Postfächer ermöglicht, müssten Datenschutzverantwortliche binnen 72 Stunden eine Meldung an die Datenschutzaufsicht stellen.
Mal schauen, ob Microsoft die kommenden Tage die Karten bezüglich eines bestimmten Vorfalls aufdeckt, oder ob ich weitere Details, möglicherweise als phantastische Geschichte, ohne jeglichen Bezug zu realen Begebenheiten, öffentlich machen kann. Die Zutaten für den Plot sind oben ja bereit gelegt worden.
Ähnliche Artikel:
Microsoft 365 Störung (1. März 2025)
Hält die Microsoft 365/Exchange Online-Störung vom 1. März 2025 auch am 3. März 2025 an?
Outlook Classic startet auf Windows Terminalserver nicht mehr (Feb. 2025)
Outlook auch am 6. März 2025 gestört
Anzeige
Bei uns kam das bei ein paar Kunden Anfang dieser Woche auch vor. Mehrere E-Mails an die üblichen Kontakte kamen plötzlich als unzustellbar zurück. Postfach existiert nicht und zwar bei allen bekannten Kontakten dieser Kunden(kann also kein Schreibfehler gewesen sein.) Als on-prem Verfechter ist man da immer wieder verdutzt, was da alles so in der Cloud passiert.
Sollte sich Günters aktuelle Vermutung bestätigen, so lässt einen vor allem der Umgang von Microsoft mit dem Thema fragend zurück. Wie im Beitrag geschreiben, kann das Thema sehr schnell DSGVO relavant werden. Offene und klare Kommunikation wäre das Mittel der Wahl. Mal sehen wie sich das Thema noch entwickelt.
Naja es wird genauso behandelt wie der Leak des Azure Masterkeys an die Chinesen, damals 2023 oder so. Also von daher würde es mich nicht wundern, wenn es dann mal in paar Monaten plötzlich heißt: "Da war mal was". Generell finde ich es eine Schade, dass nicht schon viel mehr Entwickler auch für andere Systeme entwickeln um den Monopolisten mal in seine Schranken zu weisen. Wir haben mittlweile an allen Arbeitsplätzen, die keine super spezial Software ala CAD brauchen Linux eingeführt. Mediengastaltung arbeiten mit MAC.
Wer sich Microsoft und O365 anvertraut, muss m. E. noch viel heftiger auf die Nase fallen. On Prem scheint ein aussterbendes System zu sein.
Vermutlich zum einen weil die Haftung (Cyberversicherung) ein Thema sein könnte, zum anderen ist auch viel einfacher auszulagern, und Microsoft möchte es eigentlich genau so. M. E. gibt es etliche eMail Server und Systeme die belastbarer sind als O(ffline)365.
Es bleibt nach wie vor spannend. Ich warte nur auf den großen Knall :-)
Euch allen einen schönen Sonntag und einen guten Start in die neue Woche.
Die DSGVO hier ist nicht anwendbar, denn MS ist systemrelevant.
Wir haben hier wie üblich und in all den Jahren weiterhin und auch bei keinem Kunden uns bekannte Probleme mit Microsoft 365 Business und Enterprise, auch kein Lagging oder Ungewöhnlichkeiten.
Wie üblich betrifft es also ggf. nur einen kleineren Kundenkreis und ggf. auch aus anderen Gründen.
Daher würde die üblichen Mutmaßungen und Hasstiraden so lange zurückhalten, bis belastbare Berichte mit Zahlen vorliegen. Das gilt natürlich immer im Leben, ist nur vielleicht einigen zu langweilig.
Störung mit Samsung E-Mail-Client kann ich bestätigen … und es nervt langsam echt. Zwischendurch geht es immer mal wieder, dann wieder stundenlange Störung.
Wir nutzen für Microsoft-Konten ausschließlich Outlook (Mobile). Keine Ahnung, was Samsung da nutzt, IMAP ohne 2FA vielleicht? Ist standardmäßig deaktiviert und sollte das aus Sicherheitsgründen auch bleiben.
Privates oder geschäftliches Microsoft-Konto? Wird in Blogs oft durcheinandergewürfelt oder nicht benannt, obwohl Welten dazwischen liegen.