{"id":309197,"date":"2025-03-09T00:05:55","date_gmt":"2025-03-08T23:05:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=309197"},"modified":"2025-03-26T09:34:04","modified_gmt":"2025-03-26T08:34:04","slug":"schwachstelle-cve-2024-49035-ursache-fuer-exchange-online-und-ms-365-probleme-seit-1-maerz-2025","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/03\/09\/schwachstelle-cve-2024-49035-ursache-fuer-exchange-online-und-ms-365-probleme-seit-1-maerz-2025\/","title":{"rendered":"Schwachstelle Ursache f\u00fcr Exchange Online- und MS 365-Probleme seit 1. M\u00e4rz 2025?"},"content":{"rendered":"

[English<\/a>]Microsoft k\u00e4mpft seit einer Woche mit Cloud-Problemen in Exchange Online sowie Microsoft 365 samt der iOS-Outlook-App. Gleichzeitig ist mir gerade die Information zur Schwachstelle CVE-2024-49035 im Microsoft Partner-Portal untergekommen. Nun gibt es Hinweise, dass die Exchange Online-Probleme mit einer Schwachstelle zusammen h\u00e4ngen k\u00f6nnten. Und es gibt den Verdacht, dass Kunden kompromittiert worden sein k\u00f6nnten. Ich fasse mal einige Informationen zusammen, die bei mir als Puzzle-Teile in ein bestimmtes (leider noch unvollst\u00e4ndiges) Bild fallen.<\/p>\n

<\/p>\n

Cloud-Probleme: Worum geht es?<\/h2>\n

\"\"Seit dem 1. M\u00e4rz 2025 rumpelt es bei den Microsofts Cloud-Diensten. Outlook.com, der Outlook-Client (iOS) die Microsoft 365-Dienste oder Exchange Online sind immer wieder gest\u00f6rt. Ich hatte erstmals im Beitrag Microsoft 365 St\u00f6rung (1. M\u00e4rz 2025)<\/a> \u00fcber diese Probleme berichtet.<\/p>\n

Erste Lesermeldungen \u00fcber Probleme sind hier im Blog bereits zum 28. Februar 2025 eingetroffen – siehe beispielsweise die Kommentare<\/a> zum Blog-Beitrag\u00a0Probleme beim Zugriff von Outlook auf Exchange Online-Postf\u00e4cher<\/a>. Damals habe ich noch nicht so viel auf diese Berichte gegeben.<\/p>\n

Aber auch am 6. M\u00e4rz 2025 gibt es noch St\u00f6rungen (siehe Outlook auch am 6. M\u00e4rz 2025 gest\u00f6rt<\/a>). Sowohl die iOS-Mail-App (von Microsoft mehrfach best\u00e4tigt) als auch die Samsung Android-Mail-App (von Lesern z.B. hier<\/a> und hier<\/a> gemeldet) k\u00f6nnen weiterhin nicht auf die Exchange Online-Postf\u00e4cher zugreifen. Auch dieser Kommentar<\/a> best\u00e4tigt massive Probleme beim Zugriff auf Exchange Online Postf\u00e4cher mit Mail-Clients auf verschiedenen Plattformen.<\/p>\n

Microsoft hatte in einer fr\u00fchen Meldung die St\u00f6rung zum 1. M\u00e4rz 2025 mit einem \"verungl\u00fcckten Update\" erkl\u00e4rt. Kann sein, aber ich hatte – ob der andauernden St\u00f6rung – Zweifel, ob das alles ist.<\/p>\n

Im Beitrag Outlook auch am 6. M\u00e4rz 2025 gest\u00f6rt<\/a> hatte ich gefragt, was die Ursache dieser St\u00f6rung sei. Eine Woche St\u00f6rung erscheint mir ungew\u00f6hnlich. Daher habe ich die Woche bei der Presseabteilung von Microsoft Deutschland explizit nach einem Post Incident Report f\u00fcr die St\u00f6rung nachgefragt. Da herrscht bisher aber Schweigen im Walde.<\/p>\n

Merkw\u00fcrdige Beobachtungen von Administratoren<\/h2>\n

Auf Facebook ist mir ein Leserkommentar eines deutschen IT-Dienstleisters zum 4. M\u00e4rz 2025 zu einem meiner Posts \u00fcber die St\u00f6rung zugegangen (siehe folgenden Screenshot), in dem es hei\u00dft, dass bei seinen Kunden Exchange Online keine Mails mehr verschickt. Als Grund wird bei diesen Kunden \"The mailbox doesn't exist\" gemeldet.<\/p>\n

\"Exchange<\/p>\n

Genau diese Information ist mir auch von anderen Quellen berichtet worden – wo Tenant-Administratoren beobachteten, dass die Postf\u00e4cher von Exchange Online-Tenants pl\u00f6tzlich weg waren oder die Meldung \"Postfach wird eingerichtet\" erschien. Das wird auch in diesem Kommentar<\/a> von Norbert P. so beschrieben.<\/p>\n

der Schock zu Beginn der Probleme, dass alle Postf\u00e4cher des Tenants weg waren, war aber schlimm\u2026 da kam die Meldung: \"Wir richten ein Postfach ein\u2026\" (im exo admin center)<\/p><\/blockquote>\n

Das legt (aus meiner Sicht) die Vermutung nahe, dass da irgend etwas Tenant-\u00fcbergreifend bei Microsoft passiert ist und dort ggf. Postf\u00e4cher wieder \"restauriert\" werden. Es trifft auch nicht alle Tenants bzw. alle Postf\u00e4cher eines Exchange Online-Tenants.<\/p>\n

Es gab zudem wohl ein vages Ger\u00fccht, dass vor der zum 1. M\u00e4rz 2025 berichteten St\u00f6rung Tenant-Administratoren Warnungen bekommen h\u00e4tten, dass bei den Exchange Online-Tenants der Speicherplatz knapp werde und die Quotas erreicht werden. Es scheint, als ob der Junk-Ordner der Postf\u00e4cher bei betroffenen Tenants mit SPAM geflutet wurde. Wird dadurch die Quota-Schwelle erreicht oder \u00fcberschritten, funktioniert das betreffende MS 365-Paket ggf. nicht mehr.<\/p>\n

W\u00e4re f\u00fcr mich eine Erkl\u00e4rung, warum Betroffene Tage vor dem 1. M\u00e4rz 2025 keine Mails mehr empfangen oder versenden konnten. Im Artikel Probleme beim Zugriff von Outlook auf Exchange Online-Postf\u00e4cher<\/a> vom 26. Februar 2025 werden ja \"komische Fehlerbilder\" (auch \"Postfach-Umz\u00fcge\" auf andere MS-Server) diskutiert, die mit obigen Informationen Sinn ergeben (da wurde von Microsoft was gel\u00f6scht, so dass das Postfach wieder funktioniert). Allen Beobachtungen gemeinsam ist, dass es nur einzelne Tenants und oder Postf\u00e4cher betrifft und dass die St\u00f6rungen auch \"verschwinden k\u00f6nnen\".<\/p>\n

The Dark Side of the Moon<\/h2>\n

Im Sinne des alten Pink Floyd Titels \"The Dark Side of the Moon\" drehe ich mal die Geschichte etwas weiter und schau auf die dunkle R\u00fcckseite des Mondes. Mir ist gerade eine andere Beobachtung untergekommen, die mir einige Erkl\u00e4rungen liefert, obwohl ich nicht alles offen legen kann (manches, was ich in den letzten Tagen vernommen habe, ist noch zu vage, aber scheint was \"im Busch\" zu sein). Mein Kanarienvogel, den ich hier halte, sagt: \"Nein, Microsoft hat mir nicht mit juristischen Schritten gedroht\". Microsoft schweigt bisher auf meine Anfrage nach einem Incident Report und meine Nachtigall meint, Redmond k\u00f6nnte mal langsam \"Butter bei die Fische geben\".<\/p>\n

CVE-2024-49035 im Partner-Portal<\/h3>\n

Ein Leser hat mich – auf Grund meiner Blog-Beitr\u00e4ge zur obigen St\u00f6rung – auf Mastodon auf einen Post des Sicherheitsforschers Kevin Beaumont hingewiesen. In folgendem Post<\/a> schreibt Beaumont, dass die US-Sicherheitsbeh\u00f6rde CISA die Schwachstelle CVE-2024-49035 zum Known Exploit Vulnerabilities Catalog (KEV) hinzu gef\u00fcgt habe (siehe diese Meldung<\/a>).<\/p>\n

\"CISA<\/a><\/p>\n

Bekannt ist die Schwachstelle\u00a0CVE-2024-49035<\/a> bei Microsoft bereits l\u00e4nger, und zum 26. November 2024 gab es eine Ver\u00f6ffentlichung dazu. Es handelt sich um eine Privilege Escalation Schwachstelle im Microsoft Partner-Portal partner.microsoft[.]com<\/em>, weil Eingaben nicht ausreichend validiert wurden. Die Schwachstelle ist als Critical (Score 8.7) eingestuft.<\/p>\n

Microsoft schreibt, dass eine Sicherheitsl\u00fccke in der Zugriffskontrolle unter Partner.Microsoft.com<\/em> es einem nicht authentifizierten Angreifer erm\u00f6glicht, seine Rechte \u00fcber ein Netzwerk zu erweitern. Und die Schwachstelle werde auch ausgenutzt (was aber erst nach der Erstver\u00f6ffentlichung \"nachgeschoben\" wurde).<\/p>\n

Gleichzeitig gab es Entwarnung, weil dieses CVE sich nur auf eine Sicherheitsl\u00fccke in der Online-Version von Microsoft Power Apps bezieht. Die Kunden m\u00fcssen laut Microsoft keine Ma\u00dfnahmen ergreifen, da die Versionen automatisch \u00fcber mehrere Tage verteilt werden.<\/p>\n

Nur mal laut gedacht: Es gibt eine Schwachstelle, die eine Privileg Escalation im Partner Portal erm\u00f6glicht. Dann wird die Online-Version der Microsoft Power Apps gepatcht, die eine Ausnutzung erm\u00f6glichten. Frage: Ist die Schwachstelle jetzt weg? Aufkl\u00e4rung m\u00fcsste Microsoft liefern.<\/p>\n

Hat da was doch durchgeschlagen?<\/h3>\n

Nun kommen wir zum dunklen Teil der Geschichte. Laut obiger Microsoft-Ausf\u00fchrung ist die Schwachstelle CVE-2024-49035 in der Online-Version von Microsoft Power Apps l\u00e4ngst entsch\u00e4rft. Mir ist aber ein Ger\u00fccht untergekommen, dass in diesem Umfeld m\u00f6glicherweise doch was nicht koscher sein k\u00f6nnte und Tenant-Administratoren m\u00f6glicherweise (ungewollt) andere Tenants beeinflussen k\u00f6nnten.<\/p>\n

Laut Kevin Beaumont erm\u00f6glicht das Partner-Portal partner.microsoft.com<\/em> den Cloud Solution Providern (CSPs) bewusst den Zugang zu den Umgebungen ihrer Kunden zu erhalten. In diesem Post<\/a> schreibt er, dass die ungen\u00fcgende Eingabevalidierung durch die Schwachstelle CVE-2024-49035 die M\u00f6glichkeit er\u00f6ffnete, auf Dinge zuzugreifen, auf die man nicht zugreifen sollte.<\/p>\n

Im Thread auf Mastodon schreiben Teilnehmer, dass die Ausnutzung in freier Wildbahn durch Microsoft erst nachtr\u00e4glich, also nach Erstver\u00f6ffentlichung des Beitrags erg\u00e4nzt habe.\u00a0Die Ausnutzung in freier Wildbahn macht die Geschichte nicht besser.<\/p><\/blockquote>\n

Und dann gibt es den folgenden Post auf Mastodon, wo jemand \u00fcber das Ger\u00fccht berichtet, dass einige Unternehmen glauben, dass ihre Postf\u00e4cher kompromittiert wurden.<\/p>\n

\"Problem<\/a><\/p>\n

Obiger Post besagt, dass diese Mitteilungen nie ins Detail gingen, aber S\u00e4tze wie \"Wir haben den Vorfall an Microsoft weitergeleitet, da die Protokolle zeigen, dass das Problem nicht auf unserer Ebene liegt. Die erforderlichen Ma\u00dfnahmen wurden ergriffen, um die vollst\u00e4ndige und sichere Kontrolle \u00fcber das betroffene Postfach wiederzuerlangen.\" w\u00fcrden fallen.<\/p>\n

Der Ball liegt bei Microsoft – das Ganze ist ggf. DSGVO relevant<\/h3>\n

Passt ins Bild, was sich hier durch verschiedene Puzzle-Teile ergibt, die ich an verschiedenen Stellen gefunden oder erhalten habe. F\u00fcr mich deutet sich an, dass etwas Tenant-\u00fcbergreifend passiert ist. Hier kann Microsoft nur durch vollst\u00e4ndige Offenlegung des Sachverhalts Transparenz schaffen.<\/p>\n

Die Sache hat f\u00fcr Administratoren im EU-Raum \u00fcbrigens noch eine besondere Bedeutung. Sollte es eine Schwachstelle in Microsofts Cloud-Diensten geben (wovon ich mit meinen bisherigen Informationen mal stark ausgehe), die Tenant-\u00fcbergreifende Aktionen auf Exchange Online-Postf\u00e4cher erm\u00f6glicht, m\u00fcssten Datenschutzverantwortliche binnen 72 Stunden eine Meldung an die Datenschutzaufsicht stellen.<\/p>\n

Mal schauen, ob Microsoft die kommenden Tage die Karten bez\u00fcglich eines bestimmten Vorfalls aufdeckt,\u00a0 oder ob ich weitere Details, m\u00f6glicherweise als phantastische Geschichte, ohne jeglichen Bezug zu realen Begebenheiten, \u00f6ffentlich machen kann. Die Zutaten f\u00fcr den Plot sind oben ja bereit gelegt worden.<\/p>\n

Erg\u00e4nzung:<\/strong> Ich habe im Nachfolgebeitrag\u00a0Exchange Online- und MS365-Probleme durch Schwachstelle? (M\u00e4rz 2025)<\/a> eine Informationen ver\u00f6ffentlicht, die mir aus einer ungenannt bleiben wollenden Quelle zugegangen ist. Ob das alles mit den seit dem 1. M\u00e4rz 2025 auftretenden Problemen zusammen h\u00e4ngt, kann ich nicht beurteilen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft 365 St\u00f6rung (1. M\u00e4rz 2025)<\/a>
\nH\u00e4lt die Microsoft 365\/Exchange Online-St\u00f6rung vom 1. M\u00e4rz 2025 auch am 3. M\u00e4rz 2025 an?<\/a>
\nOutlook Classic startet auf Windows Terminalserver nicht mehr (Feb. 2025)<\/a>
\nOutlook auch am 6. M\u00e4rz 2025 gest\u00f6rt<\/a>
\nExchange Online- und MS365-Probleme durch Schwachstelle? (M\u00e4rz 2025)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft k\u00e4mpft seit einer Woche mit Cloud-Problemen in Exchange Online sowie Microsoft 365 samt der iOS-Outlook-App. Gleichzeitig ist mir gerade die Information zur Schwachstelle CVE-2024-49035 im Microsoft Partner-Portal untergekommen. Nun gibt es Hinweise, dass die Exchange Online-Probleme mit einer Schwachstelle … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,2039,2334,426],"tags":[1171,7211,154,4328],"class_list":["post-309197","post","type-post","status-publish","format-standard","hentry","category-cloud","category-mail","category-outlook-com","category-sicherheit","tag-cloud","tag-exchange-online","tag-probleme","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=309197"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309197\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=309197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=309197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=309197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}