Microsoft Partner Renewals oder MAPS Renewals – Microsoft hat ein Problem…

… Oder der Partner.

Denn wer in diesem Zeitraum seine Mitgliedschaft erneuern möchte, steht selbst vor einer nahezu unlösbaren Aufgabe:

Es geht nicht.

Während man auf mehreren Browsern versucht (IE9-IE11,Firefox,Chrome,Safari), deren Webseite zu bedienen, kommt es permanent zu folgendem Ergebnis:

Bildschirmfoto 2015-03-09 um 14.47.31

Ruft man bei der Hotline an. Der Telefoncomputer meldet (0180 6672255, 3,4,1): „Es gäbe ein technisches Problem. Das technische Problem ließe sich beheben, indem man die Browsersprache auf Englisch umstellt“. Legt man auf und folgt der Empfehlung (ist ja nicht so, als ob man Gruppenrichtlinien in diesem Fall kontraproduktiv finden würde) – hat man folgendes Resultat:

Bildschirmfoto 2015-03-09 um 15.11.52

Ein Gespräch mit einem Ansprechpartner bei der Hotline bringt uns in sofern weiter, dass wir es „mehrmals versuchen mögen“.

Und tatsächlich. Nach „mehrmaligen“ Versuchen, geschätzt ca. 50, kommen wir zu folgender Fehlermeldung:

Bildschirmfoto 2015-03-09 um 16.19.11

Wie ist die Vorgehensweise in diesem Fall?

Erneut bei der Hotline anrufen und o.g. Fall schildern. Der Kundenbetreuer gibt in diesem Fall an, dass zusätzlich auch noch ein technisches Problem mit dem „Zahlungsverkehrsdienstleister“ vorläge. In der weitergehenden Betreuung stellt man dann fest, dass die vom Kundenbetreuer angedeutete Proforma-Rechnung nicht die erforderlichen Steuerdaten enthält, eine Abgabe der Proforma-Rechnung an die Buchhaltung würde also von selbiger abgelehnt. Der Kundenbetreuer leitet auf Bitten des Kunden den Fall weiter, um eine ordentliche Rechnung „aus Papier“ erstellen zu lassen, die dann auf dem normalen Bankweg überwiesen werden kann. Der Kundenbetreuer erwähnt jedoch, dass dieser Weg im Moment „stark frequentiert“ sei, und dass es noch einige Zeit dauern könne, bis die Rechnung beim Kunden einträfe.

Analysiert man die Microsoft Partner Network Website mittels Wireshark, während des fehlschlagenden Zahlungsvorgangs, kommt man zum Ergebnis, dass hier ein Problem mit abgelehnten TLS-Handshakes vorliegt. Blickt man dann in aktuelle Meldungen zu möglichen Sicherheitsproblemen in Zusammenhang mit Microsoft Betriebssystemen, so ist ein möglicher Zusammenhang mit diesem Problem schwer aus dem Weg zu räumen.

Untersucht man dann die Website auf mögliche, externe Risiken hinsichtlich TLS, so kommt man zu folgendem Ergebnis:

Bildschirmfoto 2015-03-09 um 18.20.44

…bei jenem sich dem technisch versiertem Betrachter die Nackenhaare aufstellen. (Screenshot vom 09.03.2015, 18:20 via SSLLABS.COM). Microsoft hat offenbar das eigene Advisory 3046015 hinsichtlich Cipher Suites „in Ansätzen bemüht“ versucht, umzusetzen. Viel schlimmer jedoch ist es um die eigentliche Protokollunterstützung bestellt. Fassungslos erkenne ich nebst dreier weiterer, schwerwiegender Fehler, dass hier RC4 tatsächlich immer noch angeboten wird.

Bei tiefergreifender Durchsicht jedoch stellt man fest, dass Microsoft selbst hier hinsichtlich Sicherheit auf ganzer Linie versagt, denn das „in Ansätzen bemüht“ hinsichtlich Cipher Suites darf dann doch negiert werden:

Bildschirmfoto 2015-03-09 um 19.13.45

In den Cipher Suites ist RC4 höchstpersönlich zugegen. Mit Verlaub, wir wissen seit spätestens 2013, dass das kaputt ist. Hier kann es sich nur noch um eine absolute Fehlkonfiguration des Webservers handeln, denn die Sinnhaftigkeit dessen kann sich dem Betrachter nicht erschließen. Diese Suite ist auf keinem Betriebssystem der letzten 10 Jahre auf irgendeinem Endgerät erforderlich. Selbst Android 2.3.7 und IE6 kommen ohne aus. Zu den Cipher Suites hinsichtlich RSA habe ich mich in meinem letzten Blogpost schon geäußert – Ruedi selbst sagt „es sei sinnvoll, in RSA wenigstens noch einen weiteren Stahlträger für das Sicherheitskonstrukt einzubauen“ – so entdecke ich hier, auf dieser Website eigentlich selbst nur noch 2 verträgliche Cipher Suites. Mit Verlaub, Microsoft, es wäre schön, wenn das Thema Wolke wenigstens bei den Kernkomponenten ernst genommen würde.

Update 09.10.2015 – 22:45: Kaum glauben kann ich, dass Microsoft auf deren Updateservern „update.microsoft.com“ nicht anders verfährt. Das ist schon nicht mal mehr als Farce zu betiteln. Ich unterlasse es jetzt, weitere Webanwendungen von Microsoft im Detail anzuschauen. Mit dem was ich eh schon weiß lässt sich immer schlechter schlafen.

Ruedi zum Thema „RC4, genial aber kaputt“ (Ab Minute „8’10):

Weiterhin wertungsfrei

Gruß
Euer Joe.