Solorigate: So schützen Unternehmen und Institutionen sich vor den jüngsten Cyberangriffen durch staatliche Stellen

Security

More information on the Solorigate investigations is available here

Derzeit ist eine gut organisierte Gruppe von Cyberkriminellen aktiv, die sich speziell auf Ziele wie Regierungsbehörden oder Cybersicherheitsunternehmen konzentrieren. Wir gehen davon aus, dass es sich es sich bei der Solorigate-Malware um staatliche Aktivitäten von erheblichem Ausmaß handelt, die sowohl auf die Regierungsbehörden als auch auf den privaten Sektor abzielen. Auch wenn wir an dieser Stelle keine weiteren Details zu den einzelnen Organisationen bekannt geben können, ist es uns wichtig, einige der Aktivitäten näher zu erläutern, die wir in den vergangenen Wochen registriert haben. Zudem möchten wir Sicherheitsexpert*innen einige Empfehlungen geben, wie sie die potenziell kriminellen Aktivitäten erkennen und entschärfen.

Die gute Nachricht für unsere Kunden vorweg: Wir konnten bei unseren Untersuchungen keinerlei Schwachstellen in unseren eigenen Produkten oder Cloud-Diensten feststellen.

Im Rahmen unserer laufenden Recherchen nach aktuellen Bedrohungen suchen wir stets nach neuen Indikatoren, die auf Aktivitäten von Angreifer*innen hindeuten könnten. Allein in den vergangenen zwei Jahren haben wir mehr als 13.000 Benachrichtigungen an Kunden geschickt, die von staatlichen Stellen angegriffen wurden. Gestiegen sind auch die Raffinesse und Qualität der Angriffe – weitere Informationen bietet dazu unser Digital Defense Report 2020.

Die jüngste Meldung des kalifornischen Sicherheitsdienstleisters FireEye deckt sich mit den von uns beobachteten Angriffen, und wir begrüßen die Meldung und den Austausch von Informationen durch FireEye, da wir der festen Überzeugung sind, dass das Teilen von derartigen Informationen für den Schutz des Internets von entscheidender Bedeutung ist.

Das Instrumentarium des staatlichen Angreifers: Vier Angriffsvektoren identifiziert

Aufgrund der raffinierten Techniken des Akteurs möchten wir die weltweite Community von Sicherheitsexpert*innen dazu aufrufen, die folgenden Angriffsvektoren genau zu prüfen. Zwar wird bei den Angriffen nicht jeder davon eingesetzt, dennoch gehören sie zum festen Instrumentarium des Akteurs.

  • Das Eindringen in die zentrale IT-Verwaltungsplattform SolarWinds Orion über Malware und bösartigen Code. Damit verschaffen sich die Angreifer*innen Zugang zu Netzwerken und verschaffen sich höhere Nutzungsrechte. Microsoft Defender ist jetzt in der Lage, diese Malware und Schadcodes zu erkennen. Zudem hat SolarWinds ein Security Advisory für diesen Angriffsvektor veröffentlicht.
  • Eindringlinge verwenden Administrationsrechte, die sie über die Kompromittierung einer On-Premise-Lösung erlangt haben, um Zugriff auf das vertrauenswürdige SAML-Token-Signaturzertifikat einer Organisation zu erhalten. SAML („Security Assertion Markup Language“) ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Über den Zugang können Cyberkriminelle SAML-Token fälschen und sich so als Benutzer*innen mit privilegierten Nutzungsrechten in einer Organisation ausgeben.
  • Angreifer*innen nutzen anomale Anmeldungen mit SAML-Token, die von einem kompromittierten Token-Signaturzertifikat erstellt wurden. Diese Token können gegen alle lokalen Ressourcen und unabhängig vom jeweiligen Identitätsmanagement sowie gegen jede Cloud-Umgebung unabhängig vom Anbieter verwendet werden, da sie so konfiguriert wurden, dass sie dem Zertifikat vertrauen. Da die SAML-Token mit einem eigenen vertrauenswürdigen Zertifikat signiert sind, können die Anomalien von der Organisation übersehen werden.
  • Cyberkriminelle können ihre eigenen Anmeldeinformationen zu bestehenden Dienst-Prinzipien (application service principals) hinzufügen – über hoch privilegierte Konten, die sie sich durch die oben beschriebene Technik oder über andere Methoden widerrechtlich angeeignet haben. Darüber können sie APIs mit speziell diesen Anwendungen zugewiesenen Berechtigungen aufrufen.

Konkrete Empfehlungen zu diesen Szenarien bietet der Leitfaden des Microsoft Security Response Centers zu den jüngsten Cyberangriffen durch staatliche Stellen.

Aktuelle Informationen zum Angriffsvektor SolarWinds

Die IT-Verwaltungsplattform SolarWinds Orion dient den Hacker*innen als zentraler Angriffspunkt. Durch Malware können sie sich Zugang zu verschiedenen Netzwerken verschaffen. Im Rahmen unserer Untersuchungen haben wir bösartige SolarWinds-Anwendungen in unserer Umgebung entdeckt, die wir isolieren und entfernen konnten. Die nachfolgenden Untersuchungen zeigen, dass es keinen Zugriff auf Dienste oder Kundendaten gab. Zudem wurden unsere Systeme nicht für Angriffe auf andere genutzt, zeigen laufende Ermittlungen. So wurden keine üblichen TTPs (Tools, Techniken und Verfahren) im Zusammenhang mit dem Missbrauch von gefälschten SAML-Tokens gegen unsere Unternehmensdomänen gefunden. Allerdings haben wir versuchte Aktivitäten aufgedeckt, die über das bloße Vorhandensein von bösartigem SolarWinds-Code in unserer Umgebung hinausgehen. Diese Aktivitäten haben jedoch nach jetzigem Stand weder die Sicherheit unserer Dienste noch die Daten unserer Kunden gefährdet. Die Prüfung hat gezeigt, dass ein Konto verwendet wurde, um Quellcode in einer Reihe von Quellcode-Repositories einzusehen. An diesem Ort der Versionsverwaltung wird der aktuelle Code gebündelt und sicher aufbewahrt. Das Konto hatte keine Berechtigungen, Änderungen am Quellcode oder technischen Systemen vorzunehmen. Unsere Ermittlungen bestätigten, dass keine Änderungen vorgenommen wurden. In unseren Bedrohungsszenarien kalkulieren wir von vorneherein mit ein, dass Angreifer*innen Kenntnis vom Quellcode haben könnten. Der Einblick in unseren Code erhöht somit nicht das Risiko. Mit diesem „Inner-Source“-Ansatz machen wir den Quellcode innerhalb von Microsoft sichtbar und verlassen uns bei der Sicherheit unserer Produkte nicht auf die Geheimhaltung des Codes.

Zudem setzen wir bei der Sicherheit unserer Technologien auf die „Assume Breach“-Philosophie als Teil eines Zero Trust Konzeptes. Wir konzentrieren uns darauf, Sicherheitslücken zu identifizieren und zu beheben, um Angriffe besser erkennen und darauf reagieren zu können. Gemeinsam mit unseren „Defense-in-Depth“-Schutzmaßnahmen, also dem koordinierten Einsatz mehrerer Sicherheitsmaßnahmen, konnten wir die Hacker*innen so früher stoppen. Mehr Informationen zu den Solorigate-Untersuchungen gibt es unter https://aka.ms/solorigate.

Gemeinsam gegen Cyberkriminalität

Wir sind überzeugt, dass es wichtig ist, bedeutende Aktivitäten von Cyberkriminellen wie die hier beschriebenen öffentlich zu machen. Die Transparenz über die Verstrickungen staatlicher Stellen und Institutionen ist nicht nur für angemessene Reaktionen der öffentlichen Verwaltungen und privater Unternehmen wichtig, sondern auch für den globalen Dialog über den Schutz des Internets. Wir hoffen auch, dass wir mit dieser Veröffentlichung das Bewusstsein von Organisationen und Einzelpersonen für Maßnahmen schärfen, die sie zu ihrem eigenen Schutz ergreifen können.

Uns ist klar, dass all die Maßnahmen, die wir für Datensicherheit und -schutz ergreifen, nur ein kleiner Teil dessen sind, was nötig ist, um die Herausforderungen durch staatlich unterstützte oder gelenkte Angreifer*innen zu bewältigen. Letztlich müssen politische Entscheidungsträger, die Wirtschaft, Regierungsbehörden und Einzelpersonen an einem Strang ziehen, um hier zu wirklich wirksamen Maßnahmen zu kommen. Wir hoffen, dass dieser Beitrag dabei helfen wird, die Sicherheit der digitalen Ökosysteme zu stärken.

Related Posts

Wir stellen vor: Copilot+ PCs

Im Rahmen eines Events auf unserem neuen Microsoft-Campus haben wir heute eine neue Kategorie von Windows-PCs, die für künstliche Intelligenz (KI) entwickelt wurden, vorgestellt: Die Copilot+ PCs.

Introducing Copilot+ PCs

Today, at a special event on our new Microsoft campus, we introduced the world to a new category of Windows PCs designed for AI, Copilot+ PCs.