SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode

[English]Microsoft hat eingestanden, dass die Hacker, die die SolarWinds-Backdoor in die Orion-Software eingeschleust hatten, Zugriff auf Quellcodes von Projekten hatten. Code konnte angeblich aber nicht geändert werden.


Anzeige

Seit einigen Wochen beschäftigt der SolarWinds-Hack ja US-Behörden und IT-Firmen (siehe Linkliste am Artikelende). Mutmaßlich staatlichen Angreifern ist es gelungen, eine DLL in der Orion-Software von SolarWinds mit einer SOLARBURST genannten Backdoor zu infizieren. Da die SolarWindows Orion-Produkte von vielen Kunden eingesetzt werden, ist die Zahl der Opfer enorm (potentiell wird von 18.000 Betroffenen gesprochen). Im Artikel Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt hatte ich einige Opfer genannt – der Wallstreet Journal-Artikel hier gibt einen weiteren Überblick. Inzwischen wurde zudem bekannt, dass bei einigen Opfern eine weitere Backdoor gefunden wurde (siehe SolarWinds-Systeme mit 2. Backdoor gefunden und diesen Artikel). Es deutet darauf hin, dass eine weitere Hackergruppe auf diesem Feld aktiv ist. Die Kollegen von Bleeping Computer weisen hier darauf hin, dass SolarWinds den Sicherheitshinweis in Bezug auf die neue SUPERNOVA-Malware aktualisiert haben.

Neue CISA-Anweisung

Zum 30. Dezember 2020 hat die amerikanische CISA eine Anweisung an Behörden herausgegeben. Diese regelt, wie diese beim Einsatz der SolarWinds Orion-Software vorzugehen haben. Sofern die Orion-Software in den Versionen 2019.4 HF5, 2020.2 RC1, 2020.2 RC2, 2020.2 und 2020.2 HF1 im Einsatz war, ist das System kompromittiert. Die Anweisung lautet, die Systeme herunter zu fahren und vom Netz zu isolieren.

Zugriff auf Microsofts Quellcode

Dass Microsoft die SOLARBURST-Backdoor auf seinen Systemen gefunden hat, ist länger bekannt (siehe SolarWinds-Hack: Auch Microsoft & Co. betroffen?). Microsoft hat aber angegeben, dass die Backdoor nicht aktiv ausgenutzt worden sei. Nun gibt es eine neue Entwicklung, denn Microsoft hat in diesem Beitrag bekannt gegeben, dass die SolarWinds-Angreifer Zugriff auf diverse Quellcodes haben.

Die Microsoft-Untersuchung habe zwar keine Hinweise auf einen Zugriff auf Produktionsdienste oder Kundendaten ergeben, schreibt das Unternehmen. Auch seien keine Microsoft-Systeme für Angriffe auf andere genutzt worden. Die Untersuchung dauert aber noch an. Inzwischen wurde aber bekannt, dass die Hacker versucht haben, an den Microsoft Quellcode heranzukommen.

Microsoft hat bei der Untersuchung ungewöhnliche Aktivitäten bei einer kleinen Anzahl interner Konten festgestellt. Bei der weiteren Analyse kam heraus, dass ein Konto verwendet wurde, um Quellcode in einer Reihe von Quellcode-Repositories einzusehen. Glück im Unglück: Dieses Konto hatte keine Berechtigung, Code oder technische Systeme zu ändern. Die bisherigen Untersuchungen ergaben, dass durch die Angreifer keine Änderungen am Quellcode vorgenommen werden konnten.

Bewährt hat sich dort, dass Microsoft einen sogenannten Inner-Source-Ansatz verfolgt. Mitarbeiter aus der Software-Entwicklung können die Quellcodes des Unternehmens zwar einsetzen. Aber die Struktur ist so angelegt, dass Modifikationen nur von bestimmten Konten vorgenommen werden dürfen. Diese  "Defense-in-Depth"-Schutzmaßnahmen und Kontrollen innerhalb von Microsoft haben wohl, so die Aussage, den Versuch einer Modifikation des Quellcodes gestoppt.

Der Vorfall zeigt aber, dass sich auch Firmen wie Microsoft nie sicher sein können, nicht gehackt zu werden. Reuters hat diesen Artikel publiziert, in der sich auch externe Experten zu diesem Fall äußern. Je nach der Art des Quellcodes, der eingesehen werden könnte, so die Befürchtung, könnte dies für weitere Hackerangriffe genutzt werden.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode

  1. weingeist sagt:

    und ich wette wir haben das schon alle auf dem Rechner durch KBxxx

  2. Peter sagt:

    ZDNet berichtet über eine fest-codierte backdoor in vielen Zyxel-Produkten. Welche Spione da wohl Einfluß genommen haben? (aus: malware.news)

  3. Robert sagt:

    Interessant wäre vermutlich auch der Teams-Quellcode, da scheinbar alle Welt sensible Informationen dort freiwillig reinwerfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.