Microsoft liegen Informationen zu einem komplexen Cyberangriff auf Lieferketten vor, von dem im Laufe des letzten Jahres eine Reihe von Organisationen betroffen waren. Die Cyberattacke nutzt schädliche SolarWinds-Dateien, mit denen sich Cyberkriminelle möglicherweise Zugriff auf interne Netzwerke von Organisationen verschafft haben. Cybersecurity-Expert*innen von Microsoft untersuchen derzeit den Angriff, um sicherzustellen, dass unsere Kunden weiterhin bestmöglich geschützt sind.
Im aktuellen Blogpost von Brad Smith, Präsident von Microsoft, stellt er die neuesten Informationen und technischen Details für Abwehrmaßnahmen zur Verfügung. Die Informationen gibt es hier: „A moment of reckoning: the need for a strong and global cybersecurity response.“
Da es sich um eine laufende Untersuchung handelt, leisten die Cybersecurity-Teams von Microsoft weiterhin erste Hilfe bei diesen Angriffen. Auch ist uns bewusst, dass unsere Kunden und Partner derzeit viele Fragen rund um die Attacken haben. Sobald uns neue Erkenntnisse vorliegen, werden wir weitere Informationen teilen und diese auf unserem Microsoft Security Response Center (MSRC) Blog veröffentlichen. Die aktuellen Informationen zu diesem Thema gibt es hier.
Microsoft-Partnern empfehlen wir, ihre eigene IT-Umgebungen zu sichern und sich mit ihren Kunden in Verbindung zu setzen, um sie bei der Absicherung ihrer IT-Infrastrukturen zu unterstützen.
Nachfolgend haben wir aktuelle Informationen und Links für die Kommunikation mit Kunden zusammengestellt.
Aktuelle Quellen
- „Solorigate: So schützen Unternehmen und Institutionen sich vor den jüngsten Cyberangriffen durch staatliche Stellen“ – dieser Blogpost zeigt die dynamische Bedrohungslage und erläutert die Prinzipien unserer Vorgehensweise bei der Aufklärung.
- „Customer guidance on recent nation-state cyberattacks“– während unsere Untersuchungen andauern, wird dieser Blogpost laufend aktualisiert.
- SolarWinds post-compromise hunting with Azure Sentinel – dieser Tech-Community-Beitrag enthält die neuesten Such- und Erkennungsabfragen für Azure Sentinel.
- „Ensuring customers are protected from Solorigate“ – dieser Blogpost des Microsoft 365 Defender Threat Intelligence Teams bietet Informationen zu Updates für Microsoft Defender Antivirus.
- „Analyzing Solorigate and how Microsoft Defender helps protect customers“ – hier gibt es eine ausführliche Analyse und Details zu den Schutzfunktionen von Microsoft Defender for Endpoint und Microsoft 365 Defender.
- Kunden, die den Microsoft 365 Defender und Microsoft Defender for Endpoints nutzen, sollten sich den Threat Analytics-Artikel (Anmeldung erforderlich) in der Defender Console ansehen. Hier gibt es Informationen über die Erkennung sowie die möglichen Auswirkungen auf ihre IT-Umgebungen.
- Protecting Microsoft 365 from on-premises attacks – in diesem Tech-Community-Beitrag bieten wir Anleitungen für Identity Professionals und Microsoft 365-Administratoren.
- Für alle Microsoft Threat Experts (MTE)-Kunden, bei denen wir verdächtige Aktivitäten in Kundenumgebungen beobachtet haben, haben wir Targeted Account Notifications durchgeführt.
- Microsoft Defender Antivirus und Microsoft Defender for Endpoint haben Schutzmaßnahmen für die schädliche SolarWinds-Software und andere Artefakte des Angriffs veröffentlicht.
Advisories
- Bei konkreten Fragen von Kunden zu FireEye sollte auf das FireEye Advisory verwiesen werden.
- Bei konkreten Fragen zu SolarWinds kann auf das SolarWinds-Advisory verwiesen werden.
- Die Cybersecurity and Infrastructure Security Agency (CISA) hat auf ihrer Website eine Reihe von Informationen und Anleitungen veröffentlicht. Für individuelle länderspezifische Anleitungen sollten Kunden und Partner die Informationen der zuständigen Strafverfolgungsbehörden oder anderer staatlicher Stellen in der jeweiligen Gerichtsbarkeit heranziehen.
Ein Beitrag von Sydney Loerch
Partner Communications Lead