Bei Solorigate handelt es sich um eine gut organisierte Gruppe von Cyberkriminellen, die sich speziell auf Ziele wie Regierungsbehörden oder Cybersicherheitsunternehmen konzentriert. Wir gehen davon aus, dass es sich bei der Solorigate-Malware um staatliche Aktivitäten von erheblichem Ausmaß handelt, die sowohl auf die Regierungsbehörden als auch auf den privaten Sektor abzielen. Im folgenden Beitrag erläutern wir die Aktivitäten der Hacker*innen und geben Sicherheitsexpert*innen Empfehlungen, wie sie die potenziell kriminellen Aktivitäten erkennen und entschärfen.
Die gute Nachricht für unsere Kunden vorweg: Wir konnten bei unseren abschließenden Untersuchungen keinerlei Schwachstellen in unseren eigenen Produkten oder Cloud-Diensten feststellen. Zudem wurden unsere Systeme nicht für Solorigate-Angriffe auf andere genutzt.
Im Rahmen unserer laufenden Recherchen nach aktuellen Bedrohungen suchen wir stets nach neuen Indikatoren, die auf Aktivitäten von Angreifer*innen hindeuten könnten. Allein in den vergangenen zwei Jahren haben wir mehr als 13.000 Benachrichtigungen an Kunden geschickt, die von staatlichen Stellen angegriffen wurden. Gestiegen sind auch die Raffinesse und Qualität der Angriffe – weitere Informationen bietet dazu unser Digital Defense Report 2020. Das trifft auch auf den Solorigate-Angriff zu, den wir im Dezember 2020 zusammen mit dem kalifornischen Sicherheitsdienstleister FireEye aufgedeckt haben.
Das Instrumentarium des staatlichen Angreifers: Vier Angriffsvektoren identifiziert
Aufgrund der raffinierten Techniken des Akteurs möchten wir die weltweite Community von Sicherheitsexpert*innen dazu aufrufen, die folgenden Angriffsvektoren genau zu prüfen. Zwar wird bei den Angriffen nicht jeder davon eingesetzt, dennoch gehören sie zum festen Instrumentarium des Akteurs.
- Das Eindringen in die zentrale IT-Verwaltungsplattform SolarWinds Orion über Malware und bösartigen Code. Damit verschaffen sich die Angreifer*innen Zugang zu Netzwerken und verschaffen sich höhere Nutzungsrechte. Microsoft Defender ist jetzt in der Lage, diese Malware und Schadcodes zu erkennen. Zudem hat SolarWinds ein Security Advisory für diesen Angriffsvektor veröffentlicht.
- Eindringlinge verwenden Administrationsrechte, die sie über die Kompromittierung einer On-Premise-Lösung erlangt haben, um Zugriff auf das vertrauenswürdige SAML-Token-Signaturzertifikat einer Organisation zu erhalten. SAML („Security Assertion Markup Language“) ist ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Über den Zugang können Cyberkriminelle SAML-Token fälschen und sich so als Benutzer*innen mit privilegierten Nutzungsrechten in einer Organisation ausgeben.
- Angreifer*innen nutzen anomale Anmeldungen mit SAML-Token, die von einem kompromittierten Token-Signaturzertifikat erstellt wurden. Diese Token können gegen alle lokalen Ressourcen und unabhängig vom jeweiligen Identitätsmanagement sowie gegen jede Cloud-Umgebung unabhängig vom Anbieter verwendet werden, da sie so konfiguriert wurden, dass sie dem Zertifikat vertrauen. Da die SAML-Token mit einem eigenen vertrauenswürdigen Zertifikat signiert sind, können die Anomalien von der Organisation übersehen werden.
- Cyberkriminelle können ihre eigenen Anmeldeinformationen zu bestehenden Dienst-Prinzipien (application service principals) hinzufügen – über hoch privilegierte Konten, die sie sich durch die oben beschriebene Technik oder über andere Methoden widerrechtlich angeeignet haben. Darüber können sie APIs mit speziell diesen Anwendungen zugewiesenen Berechtigungen aufrufen.
Konkrete Empfehlungen zu diesen Szenarien bietet der Leitfaden des Microsoft Security Response Centers zu den jüngsten Cyberangriffen durch staatliche Stellen.
Untersuchungen des Angriffsvektors SolarWinds
Die IT-Verwaltungsplattform SolarWinds Orion diente den Hacker*innen als zentraler Angriffspunkt. Durch Malware konnten sie sich Zugang zu verschiedenen Netzwerken verschaffen. Im Rahmen unserer Untersuchungen haben wir bösartige SolarWinds-Anwendungen in unserer Umgebung entdeckt, die wir isolieren und entfernen konnten.
Wie unsere abschließenden Untersuchungen gezeigt haben, gab es keinen Zugriff auf Dienste oder Kundendaten. Zudem wurden unsere Systeme nicht für Angriffe auf andere genutzt. So wurden keine üblichen TTPs (Tools, Techniken und Verfahren) im Zusammenhang mit dem Missbrauch von gefälschten SAML-Tokens gegen unsere Unternehmensdomänen gefunden. Allerdings haben wir versuchte Aktivitäten aufgedeckt, die über das bloße Vorhandensein von bösartigem SolarWinds-Code in unserer Umgebung hinausgehen. Diese Aktivitäten haben jedoch weder die Sicherheit unserer Dienste noch die Daten unserer Kunden gefährdet. Die Prüfung hat gezeigt, dass ein Konto verwendet wurde, um Quellcode in einer Reihe von Quellcode-Repositories einzusehen. An diesem Ort der Versionsverwaltung wird der aktuelle Code gebündelt und sicher aufbewahrt. Das Konto hatte keine Berechtigungen, Änderungen am Quellcode oder technischen Systemen vorzunehmen. Unsere Ermittlungen bestätigten, dass keine Änderungen vorgenommen wurden. In unseren Bedrohungsszenarien kalkulieren wir von vorneherein mit ein, dass Angreifer*innen Kenntnis vom Quellcode haben könnten. Der Einblick in unseren Code erhöht somit nicht das Risiko. Mit diesem „Inner-Source“-Ansatz machen wir den Quellcode innerhalb von Microsoft sichtbar und verlassen uns bei der Sicherheit unserer Produkte nicht auf die Geheimhaltung des Codes.
Zudem setzen wir bei der Sicherheit unserer Technologien auf die „Assume Breach“-Philosophie als Teil eines Zero Trust Konzeptes. Wir konzentrieren uns darauf, Sicherheitslücken zu identifizieren und zu beheben, um Angriffe besser erkennen und darauf reagieren zu können. Gemeinsam mit unseren „Defense-in-Depth“-Schutzmaßnahmen, also dem koordinierten Einsatz mehrerer Sicherheitsmaßnahmen, konnten wir die Hacker*innen so früher stoppen. Mehr Informationen zu den Solorigate-Untersuchungen gibt es unter https://aka.ms/solorigate.
Unser Sicherheitsansatz in einer dynamischen Bedrohungslandschaft
Es gibt mehrere Gründe, warum wir in der Lage waren, das Ausmaß und die Auswirkungen dieses Angriffs für unser Unternehmen, unsere Kunden und Partner zu begrenzen. Doch letztendlich laufen sie alle auf unsere grundlegenden Sicherheits-Ansätze hinaus. In einer sich schnell entwickelnden und hochentwickelten Bedrohungslandschaft glauben wir, dass diese Ansätze eine Chance für alle IT- und Sicherheitsteams sein können:
- Eine wichtige Maßnahme ist die Implementierung einer Zero-Trust-Architektur. Bei diesem Ansatz gehen Unternehmen davon aus, dass jede Aktivität inklusive der von vertrauenswürdigen Nutzer*innen ein Versuch sein könnte, in die Systeme einzudringen. Um sich vor diesen allgegenwärtigen Bedrohungen zu schützen, empfehlen wir zudem den Einsatz von „Defense-in-Depth“-Schutzmaßnahmen, die wie eine Schicht über Code, Endpunkten und Identitäten installiert werden.Der erste Schritt für eine Zero-Trust-Architektur besteht im Schutz von Identitäten, insbesondere von privilegierten Benutzerkonten. Lückenhafter Schutz von Identitäten, wie z.B. schwache Passwörter oder fehlende Multi-Faktor-Authentifizierung, ermöglichen Hacker*innen, in ein System einzudringen, den Status eines Accounts zu erhöhen oder sich durch die Umgebung zu bewegen, um E-Mails oder Quellcode anzugreifen. Dies konnten wir bei Solorigate beobachten: Ungenutzte App-Konten ohne Multi-Faktor-Authentifizierung wurden für den Zugriff auf Cloud-Administrationseinstellungen mit hohen Privilegien verwendet. Mehr Informationen dazu gibt es hier.
- Die Solorigate-Attacke hat uns auch gezeigt, wie wichtig Cloud-Technologien gegenüber On-Premises-Software sind. Unsere Lösungen aus der Cloud wie Microsoft 365 und Azure verbessern die Fähigkeit eines Unternehmens, die eigene Umgebung zu schützen. Ohne fortschrittliche Schutzschichten wie Azure Active Directoryund Microsoft 365 Defender, die Angriffe über Identitäten, E-Mails, Cloud-Anwendungen und Endpunkte hinweg erkennen, warnen, verhindern und darauf reagieren können, verriegeln Unternehmen zwar die Tür, lassen aber das Fenster offen. Einer der wichtigsten Ratschläge, die wir Unternehmen derzeit geben können, ist der Aufbau von koordinierten Schutzschichten – unabhängig davon, wer der Sicherheitsanbieter ist.Zudem sollten Kunden die Identitäts- und Zugriffverwaltung aus der Cloud berücksichtigen: Verlassen sie sich auf On-Premises-Dienste, wie Authentifizierungsserver, liegt der Schutz der Identitätsinfrastruktur beim Unternehmen selbst. Mit unsere Plattform Azure Active Directory leisten wir diesen Schutz aus der Cloud. Unsere maschinellen Lernsysteme analysieren Billionen von Signalen in Echtzeit. So können wir Angriffe erkennen und beheben, die niemand sonst sehen kann.
- Wir wissen, dass wir alle eine wichtige Rolle bei der Stärkung und Befähigung der Sicherheits-Community Es war großartig, diesen Austausch im Dezember in Aktion zu sehen, als der Sicherheitsdienstleister FireEye die Community vor einer „globalen Eindringlingskampagne“ warnte. Bei Microsoft haben die Kommunikation und Zusammenarbeit mit unseren Kunden und Partnern höchste Priorität. In den vergangenen Wochen trafen sich unsere Sicherheitsteams wie das Microsoft Threat Intelligence Center (MSTIC), Microsoft Detection and Response Team (DART), Microsoft Cyber Defense Operations Center (CDOC) und Microsoft Security Response Center (MSRC) täglich und arbeiteten mit Kunden und Partnern zusammen. Wir tauschten die neuesten Bedrohungsdaten und Kompromittierungsindikatoren aus, veröffentlichten mehr als 15 Blogbeiträge mit technischen Anleitungen und Best Practices und informierten Kunden über potenziell relevante Aktivitäten. Darüber hinaus haben wir Sicherheitstests für unser gesamtes Produktportfolio angeboten, um Unternehmen die notwendigen Werkzeuge zur Bekämpfung dieser Bedrohung an die Hand zu geben. Dieser Austausch ist für die gesamte Community von unschätzbarem Wert. Wir möchten jedes Unternehmen, egal welcher Größe, ermutigen, mit dieser Community zusammenzuarbeiten, um Informationen auszutauschen, die Abwehr zu stärken und auf Angriffe zu reagieren. Mehr dazu gibt es in unserer Microsoft Security and Compliance Tech Community.
Gemeinsam gegen Cyberkriminalität
Wir sind überzeugt, dass es wichtig ist, bedeutende Aktivitäten von Cyberkriminellen wie die hier beschriebenen öffentlich zu machen. Die Transparenz über die Verstrickungen staatlicher Stellen und Institutionen ist nicht nur für angemessene Reaktionen der öffentlichen Verwaltungen und privater Unternehmen wichtig, sondern auch für den globalen Dialog über den Schutz des Internets. Wir hoffen auch, dass wir mit dieser Veröffentlichung das Bewusstsein von Organisationen und Einzelpersonen für Maßnahmen schärfen, die sie zu ihrem eigenen Schutz ergreifen können.
Uns ist klar, dass all die Maßnahmen, die wir für Datensicherheit und -schutz ergreifen, nur ein kleiner Teil dessen sind, was nötig ist, um die Herausforderungen durch staatlich unterstützte oder gelenkte Angreifer*innen zu bewältigen. Letztlich müssen politische Entscheidungsträger, die Wirtschaft, Regierungsbehörden und Einzelpersonen an einem Strang ziehen, um hier zu wirklich wirksamen Maßnahmen zu kommen. Wir hoffen, dass dieser Beitrag dabei helfen wird, die Sicherheit der digitalen Ökosysteme zu stärken.
Ein Beitrag von John Lambert
Distinguished Engineer, Microsoft Threat Intelligence Center
