Modern technology gives us many things.

Cyber-Attacke über SolarWinds: Angreifer hatten Zugriff auf Microsoft-Quellcode

0 2

Microsoft hat eingeräumt, dass die Angreifer im Fall SolarWinds sehr tief in die konzerninternen Netzwerke eingedrungen und bis zum Quellcode gelangt sind.


    Cyber-Attacke über SolarWinds: Angreifer hatten Zugriff auf Microsoft-Quellcode

(Bild: Panuwatccn/Shutterstock.com)

Von

  • Stefan Krempl

Die Drahtzieher hinter den SolarWinds-Vorfällen sind bei Microsoft deutlich weiter ins Firmennetz vorgedrungen als bisher bekannt. Der US-Softwarekonzern gab an Silvester bekannt, anhand neuer Untersuchungen festgestellt zu haben, dass die Hacker bis zu den immateriellen Kronjuwelen in Form von Programmcode vorgedrungen seien. Der Schaden halte sich aber in Grenzen.

Anfangs hatte Microsoft nur erklärt, kompromittierte Programme des US-Dienstleisters SolarWinds in der eigenen Netzwerkumgebung entdeckt zu haben. Diese seien "isoliert und entfernt" worden. Bei der genaueren, noch nicht abgeschlossenen Prüfung sei man nun aber auch "ungewöhnlichen Aktivitäten" bei einer "kleinen Anzahl interner Konten" von Mitarbeitern auf die Spur gekommen. Einen Account hätten die Angreifer genutzt, um "Quellcode in einer Reihe" einschlägiger Verzeichnisse einzusehen.

Das Konto sei aber nicht mit einer Berechtigung verknüpft gewesen, "Code oder technische Systeme zu ändern", schreibt das IT-Sicherheitsteam aus Redmond. Die Analyse habe auch bestätigt, dass nichts umgewandelt worden sei. Die von den Hackern übernommenen Konten habe man zudem "bereinigt". Ob die Angreifer etwa den Quelltext von Windows oder MS Office 365 einsehen konnten, darüber ließ sich Microsoft nicht im Detail aus.

"Bei Microsoft verfolgen wir einen 'Inner Source'-Ansatz", erklärten Microsofts Sicherheits-Experten weiter. Die Programmierer folgten so intern bewährten Praktiken bei der Softwareentwicklung mit einer "Open-Source-ähnlichen Kultur". Der Quellcode sei für Berechtigte innerhalb des Unternehmens also einsehbar. Das bedeute, "dass wir uns bei der Sicherheit von Produkten nicht auf die Geheimhaltung des Source-Codes verlassen".

Die Bedrohungsmodelle gingen so davon aus, dass Angreifer Kenntnis von Quelltexten erlangen könnten, betont das Team. Eine Einsicht in die Programmbausteine sei also nicht mit einem erhöhten Risiko verbunden. Noch 2017 hatte Microsoft aber unterstrichen, der Regierung in Peking im Rahmen der Arbeiten an einer Windows-10-Spezialversion für China keinen Quellcode für Prüfzwecke zur Verfügung gestellt zu haben, um ihre immateriellen Kronjuwelen zu schützen.

Weder "die Sicherheit unserer Dienste noch irgendwelche Kundendaten" seien in Gefahr gewesen, lautet nun die Ansage aus Redmond. Es gebe auch nach wie vor keine Hinweise darauf, dass Systeme und Programme des Softwareriesen für Angriffe auf Dritte missbraucht worden seien. Transparenz und das Teilen von Erfahrungen seien in so einem Ereignis jedoch wichtig: "Wir bekämpfen hier einen, wie wir glauben, sehr hoch entwickelten nationalstaatlichen Akteur." Mehrere US-Minister hatten zuvor auf Russland gezeigt, während Noch-Präsident Trump eher China hinter der massiven Attacke vermutet.

Die von den Angreifern eingesetzte Malware Sunburst war mindestens seit dem Frühjahr über verseuchte Updates für die Netzwerkmanagement-Plattform Orion von SolarWinds auf Systeme von bis zu 18.000 Kunden des Dienstleisters inklusive Microsoft geschleust worden. Darunter befanden sich auch mehrere US-Ministerien und Behörden. Dort hatte der Schädling eine Hintertür installiert und so die Übernahme infizierter Systeme aus der Ferne in die Wege geleitet. Hinter den Attacken soll dieselbe noch nicht identifizierte Gruppe stecken, die zuvor auch erfolgreich die IT-Sicherheitsfirma FireEye attackiert hatte.

In der vergangenen Woche gab der FireEye-Konkurrent CrowdStrike bekannt, dass er ebenfalls von den Angreifern ins Visier genommen sei – allerdings ohne Erfolg. Dabei sollen die Hacker Microsoft-Reseller verwendet haben, um sich Zugang zu den Systemen von CrowdStrike zu verschaffen. Das US-amerikanische Department of Homeland Security hat bestätigt, dass SolarWinds nur einer von mehreren Wegen war, die die Angreifer nutzten, um staatliche Institutionen sowie insbesondere Technologie- und Cybersicherheitsunternehmen anzugreifen.

Zu den Cyber-Attacken via SolarWinds:


    Cyber-Attacke über SolarWinds: Angreifer hatten Zugriff auf Microsoft-Quellcode

Mutmaßlich staatlichen Hackern war es gelungen, SolarWinds Orion-Platttform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die mehr als 300.000 Kunden weltweit einsetzen. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium.

(jk)

Quelle: www.heise.de

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.