SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen

Tag 1 nach dem Bekanntwerden der Hackerangriffe auf Firmen und Behörden über die SUNBURST-Schwachstelle in SolarWinds-Produkten. So langsam werden die Folgen sichtbar und erste Vorschläge zur Absicherung der Infrastruktur über SIEMS-Regeln werden gemacht. Hier ein kurzer Überblick.


Anzeige

Die SolarWinds SUNBURST-Schwachstelle

Kurzer Rückblick: In den Beiträgen US-Finanzministerium und weitere US-Behörde gehackt und FireEye: Wenn Hacker eine Sicherheitsfirma plündern hatte ich über erfolgreiche Hacks des US-Sicherheitsunternehmens FireEye sowie des US-Finanzministeriums und weiterer US-Behörden berichtet. Hacker konnten sich seit Monaten in deren IT-Systemen umsehen, Mails mitlesen und Dokumente abziehen.

Möglich war dies, weil eine Backdoor in Form eines Trojaners in den Orion-Produkten des US-Anbieters SolarWinds existiert. Mutmaßlich russischen Staatshackern ist ein besonderer Coup gelungen. Sie konnten einen Trojaner in von SolarWinds ausgerollte Updates einschleusen, wodurch Zehntausende an Behörden, Organisationen und Firmen über die SUNBURST-Schwachstelle angreifbar sind.

Denn die Netzwerk- und Sicherheitsprodukte von SolarWinds werden von mehr als 300.000 Kunden weltweit eingesetzt, darunter Top Unternehmen, Regierungsbehörden und Bildungseinrichtungen. SolarWinds beliefert außerdem die großen US-Telekommunikationsunternehmen, alle fünf Zweige des US-Militärs und andere prominente Regierungsorganisationen wie das Pentagon, das Außenministerium, die NASA, die Nationale Sicherheitsbehörde (NSA), die Post, die NOAA, das Justizministerium und das Büro des Präsidenten der Vereinigten Staaten.

Die Geschichte bekommt eine besondere Note, wenn man weiß, dass die SolarWinds Orion-Produkte Überwachungswerkzeuge sind, die eine IT-Infrastruktur und deren Netzwerke überwachen sollen. Die Software besitzt also entsprechende Privilegien, um auf die Active Directory-Strukturen etc. zuzugreifen. Wer SolarWinds Orion kompromittiert, kann die komplette Infrastruktur, die von den Tools überwacht wird, kompromittieren.

Ein Schock für die USA, und deren Sicherheitsapparat, wobei die Vermutung dahin geht, dass im Auftrag oder mit Billigung des russischen Staats aktive Hacker des russischen Auslands-Geheimdiensts SVR (aka APT 29, Cozy Bear) dahinter stecken. Ich hatte im Blog-Beitrag SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks über diesen Sachverhalt bzw. die neuesten Erkenntnisse berichtet. Wir werden aber wohl noch länger Neues aus dieser Ecke vernehmen, da gerade erst die Spitze eines Eisbergs sichtbar wurde.

U.S. Department of Homeland Security auch gehackt

In diesem Beitrag berichtet Reuters, dass auch das US Department of Homeland Security (DoH) von diesem Angriff betroffen sei. Das haben Insider der Nachrichtenagentur gesteckt. Es wird ein Team von fortgeschrittenen Hackern, welches auch dort im Umfeld der russischen Regierung vermutet wird, für diesen Angriff verantwortlich gemacht.

Und hier wird es nun sehr interessant. Das Department of Homeland Security ist verantwortlich für die Grenzsicherheit, Cybersicherheit und zuletzt die sichere Verteilung des COVID-19 Impfstoffs. Drei ungenannt bleiben wollende Quellen steckten Reuters, dass die E-Mails des DOH von den Hackern mitgelesen werden konnten. Die waren also immer im Bilde, was dort passierte und ob Erkenntnisse über die Hacking-Kampagne vorlagen.

Katzenjammer nach SuperHack

Nachdem sich der Rauch so langsam verzieht und die Leute genauer hinschauen, werden die Folgen sichtbar. Potentiell sind alle 300.000 Kunden von der SUNBURST-Schwachstelle betroffen, wenn sie aktualisierte SolarWinds Orion-Software eingesetzt haben. In nachfolgendem Tweet zieht Wired Bilanz und konstatiert, dass 'lediglich' 18.000 Firmen/Organisationen potentiell Opfer des SUNBURST-Trojaners wurden.


Anzeige

Hintergrund: SolarWinds gab in einer Mitteilung an die US-Börsenaufsichtsbehörde Securities and Exchange Commission vom Montag an, dass bis zu 18.000 der Kunden potenziell anfällig für den Angriff über die SUNBURST-Schwachstelle waren bzw. seien. Aktuell laufen weltweit Untersuchungen in Firmen und Behörden, ob man von diesem Vorfall betroffen ist. Reuters berichtet in diesem Artikel, dass der britischen Regierung bisher keine Vorfälle bekannt seien. Offenbar wurden gezielt US-Behörden ins Visier genommen. Reuters zitiert zwei Quellen mit:

Erste Anzeichen deuten darauf hin, dass die Hacker wählerisch waren, bei wem sie einbrechen wollten. Was wir sehen, ist weit weniger als alle verfügbaren Möglichkeiten. Sie [die Hacker] benutzen das wie ein Skalpell.

John Hultquist, Director of Intelligence Analysis beim ebenfalls gehackten Unternehmen FireEye meint dazu:

Wenn es sich um Cyberspionage handelt, dann ist es eine der effektivsten Cyberspionage-Kampagnen, die wir seit geraumer Zeit gesehen haben.

Dem kann man wohl nur zustimmen. Wie oben bereits angedeutet: Opfer und potenzielle Ziele müssen die Möglichkeit in Betracht ziehen, dass diese Angriffe auch einen Großteil ihrer anderen Infrastruktur und Authentifizierungsmechanismen kompromittiert haben.

"Wir sollten davon ausgehen, dass auch andere Organisationen in der Lieferkette kompromittiert werden", zitiert Wired David Kennedy, CEO der Threat-Tracking-Firma Binary Defense Systems, der früher bei der NSA und bei der Signal Intelligence Unit des Marine Corps gearbeitet hat. "Nationalstaaten nutzen diese Art von Angriffen typischerweise für sehr gezielte Operationen. Aber dennoch ist die Auswirkung, von der man ausgehen muss, enorm, und hat direkte Auswirkungen auf die nationale Sicherheit."

War die EMA auch betroffen?

Ich hatte es im Blog nicht aufgegriffen, aber vor einer Woche (am 9. Dezember 2020) wurde bekannt, dass die Europäische Arzneimittelagentur (EMA) Ziel eines Cyberangriffs geworden ist. Die EMA hielt sich in Bezug auf Details zurück. Der Impfstoff-Hersteller Pfizer wurde von der EMA über den Hack informiert und teilte folgendes mit:

Bei dem Cyberangriff sei „unrechtmäßig" auf Dokumente im Zusammenhang mit dem Zulassungsantrag für den Corona-Impfstoff von Biontech und Pfizer zugegriffen worden. Es seien jedoch keine Systeme von Biontech oder Pfizer angegriffen worden. Es sei auch nicht bekannt, dass auf persönliche Daten zugegriffen worden sei.

Einige Informationen sowie die obige Pfizer-Stellungnahme lassen sich in diesem FAZ-Artikel nachlesen. Ich habe bei einer Recherche nichts belastbares gefunden, speziell das die EMA keine Details zum Angriff auf einen ihrer Server herausgibt. Aber zumindest steht der Verdacht im Raum, dass auch dort die SUNBURST-Schwachstelle in einem Orion-Produkt ausgenutzt worden sein könnte.

Erste SIEMS-Abwehrmaßnahmen

Auf Twitter sind mir die Nacht einige Meldungen unter die Augen gekommen, die ich einfach mal hier einstelle. Es geht um die Frage, wie sich Organisationen vor solche Angriffen schützen können. Von Microsoft gibt es seit Sonntag das Dokument Customer Guidance on Recent Nation-State Cyber Attacks mit weiteren Details zum Angriff und zu Abwehrmaßnahmen.

Sunburst-Folgen

In obigem Tweet zitiert jemand den Microsoft Hinweis, dass die Angreifer neue Federation Trusts auf den vorhandenen Tenants angelegt oder die Eigenschaften der bestehenden Einträge geändert haben (siehe auch dieses Microsoft Dokument zum Thema Konfigurieren einer Verbundvertrauensstellung zwischen Exchange Servern und dem Azure Active Directory-Authentifizierungssystem für Microsoft 365/Office 365).

Azure Sentinel-Alert

In obigem Tweet weist jemand auf eine Azure Sentinel-Überwachung hin, die genau diese Änderung der ADFS-Einstellungen meldet. Die Details sind auf GitHub nachlesbar. Vielleicht für jemand, der in diesem Bereich als Administrator aktiv ist, hilfreich.

Sunburst Backdoor-Detection in Splunk

Und obiger Tweet weist auf die Sunburst Backdoor-Detektion in Splunk hin. Splunk ist eine ist eine Log-, Monitoring- und Reporting-Plattform, die Daten nahezu jeder Art und aus nahezu jeder Quelle für Benutzer zugänglich und nutzbar macht.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SolarWinds-Hack: Auch Microsoft & Co. betroffen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen

  1. Bernhard Kanduth sagt:

    Toller Artikel, aber bitte nicht immer auf das Märchen der russischen Hacker einsteigen ;-)
    SolarWinds MSP Produkte habe ich zum Glück vor über einem Jahr aus dem Angebot genommen, war mit immer etwas suspekt.

    PS: Im Zusammenhang mit den fragwürdigen Dominion Votingmaschinen, die ebenfalls SolarWinds auf deren Geräten eingesetzt haben sollen und den angeblichen Geldbewegungen des SolarWinds CEO's bekommt das ganze einen interessanten Touch.
    Es folgen spannende Weihnachten und mal sehen, wann die Militärtribunale in den Staaten UND Deutschland, siehe Scytl Server in Frankfurt und deren Rolle der Einmischung in US-Wahlen, starten.
    Popcorntime ;-)

    • Günter Born sagt:

      Zum ersten Satz – ich hatte das Smiley gesehen – werde aber auch zukünftig nicht 'es waren die Hacker, die ich aus political correctness hier nicht nennen darf' formulieren. Es steht i.d.R. 'die mutmaßlichen Hacker aus xxx' (xxx je nach Artikel ausfüllen).

      Sicherheitsforschern, die einige Jahre die Arbeit bestimmter Gruppen verfolgen, nehme ich schon ab, dass diese deren Handschrift kennen und zuordnen können. Wenn es Lesern halt nicht passt, sollen die diesen Teil der Nachricht unter den Tisch fallen lassen. Mir ist es Wurscht, ob es die Chinesen, Russen, Nordkoreaner, die Amis, Briten oder die Schlapphüte aus Pullach waren. Wenn ich aber bei jeder Meldung mir im Kopf überlegen muss 'das darfst Du nicht mehr schreiben, weil …', wird es Zeit, den Nagel, den ich kürzlich hier in die Wand geschlagen habe, seiner Aufgabe zuzuführen – nämlich 'meinen Job da dran zu hängen'.

      Zu den Geschäften des SW CEOs: Die interessieren hier nicht. Zum anderen Lapsus schreibe ich gleich noch einen Artikel ;-).

      • Bernard sagt:

        ‚meinen Job da dran zu hängen'

        BITTE NICHT.

        Es gibt ansonsten keine seriösen Anlaufstellen mehr.

        heise schafft sich von Tag zu Tag mehr ab. Deren Forum auch.

        • PRISM sagt:

          ….und deshalb ist broncity quasi schon meine "Startseite" bei allen durch mich verwalteten Web-Browsern geworden!

          Heise Berichte lese ich nur noch quer – Kommentare welche "ROT" sind werden ignoriert, die "grünen" teils teils gelesen.

          Herr Born, ich schätze sehr Ihre Artikel und lese diese jeden Tag bis zu Ende.

          LG, bleiben Sie gesund & alles gute Ihnen :)

  2. Alitai sagt:

    An die Hacker: "Bitte alles veröffentlichen, was ihr nun so habt"!

  3. Ralf S. sagt:

    Und DAS ist wohl alles erst der Anfang… Da kann einem schon wirklich richtig Angst werden! Ist wohl alles nur eine Frage der Zeit, bis es zu einem ersten Super-Gau kommt. Nicht das momentane Virus wird uns wohl irgendwann alle den Kopf kosten, sondern viel eher die total unkritisch gehypte Digitalisierung. Digitalisierung immer und überall! Egal was und wo, alles MUSS unbedingt digitalisiert werden. Ist doch alleine schon der totale Wahnsinn, dass wir unser Leben immer mehr von einem "Telefon" (?) abhängig machen: Wohnung/Haus damit steuern, Kfz aufschließen/starten, Bankgeschäfte ausführen, biometrische Authentifizierungen durchführen und demnächst auch noch unsere Krankheits- u. Ausweisdaten darauf abspeichern. Und immer ist ja alles unter Garantie ABSOLUT sicher… Blöd ist halt nur, dass das einzigste was sicher ist, ist, dass es GARANTIERT nicht so sicher ist, wie man immer glauben soll…! Aktuellstes Beispiel eben gerade die digitale Patientenakte, die auch schon wieder vor ihrem eigentlichen Start erschreckend unsicher ist… https://www.tagesschau.de/investigativ/br-recherche/sicherheit-telematik-101.html

  4. No sagt:

    Vielleicht interessant: Wie Microsoft andere Opfer identifizieren könnte.

    In dem Artikel wird der C2-Server avsvmcloud[.]com genannt. Gibt es jemanden der den YARM-fingerprint ermitteln möchte?

  5. Bernard sagt:

    Ist doch lustig, dass die EU demnächst deartige Hintertürchen in ALLE Software einbauen lassen will…

    Und wer behauptet das mit den "russischen Staatshackern". Solche Aussagen werden immer dümmlicher. Braucht etwa Biden dieses Narrativ?

    So gehört die CIA zu den "ungenannt bleiben wollende Quellen".

Schreibe einen Kommentar zu Alitai Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.