DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Solar­Winds Update

Achtung: an alle die Solar­Winds Pro­dukte einsetzen

Solar­Winds rät dringend zum Upgrade und Patch nachdem eine Schwach­stelle auf seiner Orion-Plattform ent­deckt wurde.

Solar­Winds hat eine Sicher­heits­emp­fehlung (Advisory) her­aus­ge­geben, in der Kunden so schnell wie möglich auf­ge­fordert werden, auf die Version 2020.2 HF 1 seiner Orion-Plattform zu aktua­li­sieren. Am Dienstag, 15. Dezember 2020 wurde auch einen zusätz­lichen Hotfix 2020.2.1 HF 2 auf dem Kun­den­portal von Solar­Winds veröffentlicht.
Das Advisory kam nachdem das Cyber­si­cher­heits­un­ter­nehmen FireEye ange­griffen wurde und seine Bedro­hungs­for­schung über die SUN­BURST Backdoor am Sonntag, 13.12.2020 ver­öf­fent­licht hat. Demnach stehen die jüngsten Hacks von FireEye und anderen Unter­nehmen mit einem Supply-Chain-Angriff auf Solar­Winds in Ver­bindung. Es wird ange­nommen, dass ein Tro­janer die Ursache für die FireEye-Sicher­heits­­­ver­­­letzung sei, die letzte Woche bekannt wurde. Er wird auch ver­dächtigt, hinter den Sicher­heits­vor­fällen meh­rerer US-Regie­­rungs­­a­b­­tei­­lungen zu stehen. Darüber hat die Pres­se­agentur Reuters am Sonn­tag­abend berichtet.

Wie ist Solar­Winds beteiligt?
Laut FireEye ist “SolarWinds.Orion.Core.BusinessLayer.dll eine digital signierte Solar­­Winds-Kom­­po­­nente des Orion-Sof­t­­wa­re­­frame­­works, die eine Hin­tertür enthält, die über HTTP mit Servern von Dritt­an­bietern kom­mu­ni­ziert. Wir ver­folgen die tro­ja­ni­sierte Version dieses Solar­Winds Orion Plug-Ins als SUN­BURST.”
Laut dem FireEye-Bericht wird SUN­BURST über den Solar­­Winds-Update-Prozess ver­teilt. Der Supply-Chain-Angriff ermög­licht es den Angreifern, bös­willige Updates an Solar­­Winds-Kunden zu senden. FireEye behauptet, dass der ursprüng­liche Sicher­heits­vorfall im Frühjahr 2020 war. Außerdem seien zwi­schen März und Mai 2020 mehrere tro­ja­ni­sierte Updates digital signiert und an Kunden ver­schickt worden. Wichtig ist, dass dieser Angriff fort­läuft, was bedeutet, dass mög­li­cher­weise andere schäd­liche Updates noch nicht erkannt werden.
Wenn dies der Fall ist, ist es wahr­scheinlich mit CVE-2020–13912 ver­bunden (das wurde am 7. Juni ver­öf­fent­licht), das lautet: “Solar­Winds Advanced Moni­toring Agent vor 10.8.9 ermög­licht es lokalen Benutzern, Berech­ti­gungen über eine Tro­ja­nische Pferd-.exe-Datei zu erlangen, da jeder in eine bestimmte .exe Datei schreiben kann.”
FireEye berichtet, dass SUN­BURST nach der Instal­lation zwei Wochen lang ruht. Dies erfolgt mit ziem­licher Sicherheit so, damit es in alle Backup-Pro­­­zesse ein­ge­bettet werden. Danach sagt FireEye:
“Es ruft Befehle ab, die als “Jobs” bezeichnet werden, und führt sie aus. Diese Befehle umfassen die Mög­lichkeit, Dateien zu über­tragen, Dateien aus­zu­führen, das System zu pro­fi­lieren, den Com­puter neu zu starten und Sys­tem­dienste zu deak­ti­vieren. Die Malware mas­kiert seinen Netz­werk­verkehr als Das Orion Impro­vement Program (OIP)-Pro­tokoll und spei­chert Auf­klä­rungs­er­geb­nisse in legi­timen Plug-In-Kon­­fi­­gu­ra­­ti­on­s­­da­­teien, so dass es sich mit legi­timen Solar­­Winds-Akti­­vi­­täten ver­mi­schen kann. Die Hin­tertür ver­wendet mehrere ver­schleierte Block­listen, um foren­sische und Anti­­viren-Tools zu iden­ti­fi­zieren, die als Pro­zesse, Dienste und Treiber aus­ge­führt werden.”
Eine Frage, die nun beant­wortet werden muss, ist, warum Solar­Winds dies nicht früher behoben hat.

Wer ist von SUN­BURST betroffen?
Jeder, der die Solar­Winds Orion Plattform nutzt. Auf seiner Website hat Solar­Winds eine teil­weise Liste von 98 Kunden und sagt, dass seine voll­ständige Kun­den­liste fol­gende Benutzer umfasst:

• Mehr als 425 der US-Fortune 500 Unternehmen
• Alle zehn der zehn füh­renden US-Telekommunikationsunternehmen
• Alle fünf Zweige des US-Militärs
• Das US-Pen­tagon, das Außen­mi­nis­terium, die NASA, die NSA, der Post­dienst, die NOAA, das Jus­tiz­mi­nis­terium und das Büro des Prä­si­denten der Ver­ei­nigten Staaten
• Alle fünf der fünf füh­renden US-Rechnungslegungsfirmen
• Hun­derte von Uni­ver­si­täten und Hoch­schulen weltweit
Diese Größe des Kun­den­stamms deutet darauf hin, dass die Aus­wir­kungen dieses Angriffs mög­li­cher­weise schon lange nicht bekannt sind. Es wird einige Zeit dauern, bis all diese Unter­nehmen ihre eigenen Unter­su­chungen beginnen und abschließen. Ein Unter­nehmen, das bereits reagiert hat, ist Microsoft. Es hat ein Defi­ni­ti­ons­update für Microsoft Defender ver­öf­fent­licht, um die Solar­Winds DLL zu erkennen.

Was bedeutet das?

Als FireEye letzte Woche kom­pro­mit­tiert wurde, hieß es, es sei das Opfer eines hoch­ent­wi­ckelten staatlich geför­derten Angreifers. Laut Aus­sagen von ver­schie­denen Per­sonen, die sowohl mit dem Sicher­heits­vorfall bei FireEye als auch mit der Über­­­nacht-Ankün­­digung von Solar­Winds in Ver­bindung stehen, wird ange­nommen, dass die Angreifer Russen sind. Ob es sich um einen Ableger einer bestehenden Gruppe handelt, oder um eine Zusam­men­arbeit zwi­schen bestehenden Gruppen oder einem Teil der GRU, ist noch unklar. Sie haben zumindest einen Namen, UNC2452.
Andere US-Ver­­­öf­­f­en­t­­li­chungen haben nun die Bericht­erstattung von Reuters wei­ter­ver­folgt. Der all­ge­meine Ein­druck ist, dass dieser Angriff ein Fuß in die Systeme war, an denen die Angreifer inter­es­siert waren. Von dort aus haben sie andere Tools ein­ge­setzt, um weitere Daten zu sammeln, die dann abge­zogen wurden.
Es wird zudem behauptet, dass die Angreifer in der Lage gewesen seien, E‑Mails der Mit­ar­beiter bei der National Telecom­mu­ni­ca­tions and Infor­mation Admi­nis­tration (NTIA) zu über­wachen. Dies erfolgte durch einen Ein­bruch in die Microsoft Office 365-Software, die von der NTIA ver­wendet wird. Sollte dies bestätigt werden, haben die Angreifer womöglich auf eine riesige Daten­schatz­sammlung zuge­griffen. Microsoft weigert sich derzeit, einen Kom­mentar abzugeben.

Washington reagiert
Die Cyber­se­curity and Infra­st­ructure Security Agency (CISA) hat am 13.12. die Not­fall­richt­linie 21–01 als Reaktion auf einen bekannten Kom­promiss mit Solar­Winds Orion-Pro­­­dukten erlassen, die derzeit von bös­wil­ligen Akteuren aus­ge­nutzt werden. Diese Not­fall­richt­linie fordert alle zivilen Bun­des­be­hörden auf, ihre Netze auf Kom­pro­miss­in­di­ka­toren zu über­prüfen und Solar­Winds Orion-Pro­­­dukte sofort abzu­schalten oder herunterzufahren.

Fazit:
Solar­­Winds-Kunden müssen jetzt dringend Abhilfe schaffen, indem sie aktua­li­sieren und hoch­patchen. Die Angreifer werden wahr­scheinlich auf die Ent­hül­lungen des Wochen­endes reagieren und ver­suchen, sich erneut in die Systeme ein­zu­betten, bevor diese gepatcht werden.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Daniela Ruckwied

Daniela Ruckwied ist seit 2017 bei der DATEV eG als IT-Con­sultant im Bereich IT-Stra­tegie, IT-Sicherheit & Daten­schutz tätig. Sie ist als externe Daten­schutz­be­auf­tragte bei meh­reren Kanz­leien und Unter­nehmen benannt und führt als Daten­schutz­au­ditor (TÜV) und IT-Auditor (IDW) IT- und Daten­schutz­audits bei Man­danten in diversen Branchen durch. Davor war sie als IT-Con­sultant im Fach­be­reich Wirt­schafts­prüfung bei einem Software-Her­steller und bei einer der Big Four-Gesell­schaften in Stuttgart tätig. Zuvor absol­vierte sie ein Bachelor- und ein Mas­ter­studium der Wirt­schafts­wis­sen­schaften in Heil­bronn, inkl. Aus­lands­studium Master of Business Admi­nis­tration an der UNCG in USA.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.