Microsoft: Solarwinds-Hacker sahen Code für Azure, Exchange und Intune
Von März solange bis Dezember 2020 nach sich ziehen Hacker in zwei Phasen Malware im Kontext Microsoft eingeschleust. Das Opfer glaubt sich nun gesäubert.
Von
- Torge Löding
Microsoft hat seine interne Untersuchung von "Solorigate2" abgeschlossen. S nennt das Unternehmen den Vorfall mit Malware, die über die Netzwerkmanagement-Plattform SolarWinds Orion eingeschleust wurde. Zum Abschluss wartet Microsoft mit guten Ratschlägen auf und versichert, das eigene Netzwerk weise keine weiteren Schwachstellen auf.
"Wir haben nun unsere interne Untersuchung der Aktivitäten des Akteurs abgeschlossen und möchten unsere Ergebnisse mitteilen, die bestätigen, dass wir keine Beweise für den Zugriff auf Produktionsdienste oder Kundendaten gefunden haben", schrieb Microsoft am Donnerstag. Der Konzern rät Unternehmen, Sicherheit zu stärken, indem sie eine Zero-Trust-Mentalität annehmen und Anmeldeinformationen schützen.
Raffinierten Angreifern war es möglich, "kleine Teile" des Quellcodes der Microsoft-Produkte Azure, Exchange und Intune einzusehen. Bei Azure ging es demnach unter anderem um Code, der für Sicherheits- und Identitätsfunktionen wichtig ist. Die hausinternen Ermittler seien sich aber sicher, dass weder die Dienste Microsofts noch seine Software für Angriffe auf andere verwendet wurden.
"Zero Trust" soll helfen
Im Dezember waren Microsoft ungewöhnliche Aktivitäten aufgefallen. Deren Analyse zeigte, dass der erste Zugriff auf eine Datei in einem Quell-Repository Ende November stattfand und endete, als die betroffenen Konten gesichert wurden. "Wir haben weiterhin erfolglose Zugriffsversuche durch den Akteur bis Anfang Januar 2021 gegeben, die dann geendet haben", heißt es in Microsofts Mitteilung. Und: "Bei fast allen Code-Repositories, auf die zugegriffen wurde, wurden nur wenige einzelne Dateien als Ergebnis einer Repository-Suche angezeigt."
Lesen Sie auch
Eine "Zero Trust"-Philosophie sei wichtiger Bestandteil einer Sicherheitsstrategie. Dazu stellt Microsoft nun eine Anleitung zur Verfügung. Der Name Solorigate 2 nimmt bezug auf einen Vorgang im Frühjahr und Sommer 2020. Im Zeitraum des ersten Solorigate von März bis Juni hatte eine kriminelle Hackergruppe die Malware "Sunburst" auf Systeme von bis zu 18.000 Nutzern der Netzwerkmanagement-Plattform SolarWinds Orion eingeschleust.
Über eine Backdoor kommunizierte Sunburst mit den Angreifern. Diese sollen unter anderem auch US-Regierungsbehörden im Visier haben und das FireEye-Arsenal geplündert haben.
(tol)
Quelle: www.heise.de