Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
SolarWinds Update
Achtung: an alle die SolarWinds Produkte einsetzen
SolarWinds rät dringend zum Upgrade und Patch nachdem eine Schwachstelle auf seiner Orion-Plattform entdeckt wurde.
SolarWinds hat eine Sicherheitsempfehlung (Advisory) herausgegeben, in der Kunden so schnell wie möglich aufgefordert werden, auf die Version 2020.2 HF 1 seiner Orion-Plattform zu aktualisieren. Am Dienstag, 15. Dezember 2020 wurde auch einen zusätzlichen Hotfix 2020.2.1 HF 2 auf dem Kundenportal von SolarWinds veröffentlicht.
Das Advisory kam nachdem das Cybersicherheitsunternehmen FireEye angegriffen wurde und seine Bedrohungsforschung über die SUNBURST Backdoor am Sonntag, 13.12.2020 veröffentlicht hat. Demnach stehen die jüngsten Hacks von FireEye und anderen Unternehmen mit einem Supply-Chain-Angriff auf SolarWinds in Verbindung. Es wird angenommen, dass ein Trojaner die Ursache für die FireEye-Sicherheitsverletzung sei, die letzte Woche bekannt wurde. Er wird auch verdächtigt, hinter den Sicherheitsvorfällen mehrerer US-Regierungsabteilungen zu stehen. Darüber hat die Presseagentur Reuters am Sonntagabend berichtet.
Wie ist SolarWinds beteiligt?
Laut FireEye ist “SolarWinds.Orion.Core.BusinessLayer.dll eine digital signierte SolarWinds-Komponente des Orion-Softwareframeworks, die eine Hintertür enthält, die über HTTP mit Servern von Drittanbietern kommuniziert. Wir verfolgen die trojanisierte Version dieses SolarWinds Orion Plug-Ins als SUNBURST.”
Laut dem FireEye-Bericht wird SUNBURST über den SolarWinds-Update-Prozess verteilt. Der Supply-Chain-Angriff ermöglicht es den Angreifern, böswillige Updates an SolarWinds-Kunden zu senden. FireEye behauptet, dass der ursprüngliche Sicherheitsvorfall im Frühjahr 2020 war. Außerdem seien zwischen März und Mai 2020 mehrere trojanisierte Updates digital signiert und an Kunden verschickt worden. Wichtig ist, dass dieser Angriff fortläuft, was bedeutet, dass möglicherweise andere schädliche Updates noch nicht erkannt werden.
Wenn dies der Fall ist, ist es wahrscheinlich mit CVE-2020–13912 verbunden (das wurde am 7. Juni veröffentlicht), das lautet: “SolarWinds Advanced Monitoring Agent vor 10.8.9 ermöglicht es lokalen Benutzern, Berechtigungen über eine Trojanische Pferd-.exe-Datei zu erlangen, da jeder in eine bestimmte .exe Datei schreiben kann.”
FireEye berichtet, dass SUNBURST nach der Installation zwei Wochen lang ruht. Dies erfolgt mit ziemlicher Sicherheit so, damit es in alle Backup-Prozesse eingebettet werden. Danach sagt FireEye:
“Es ruft Befehle ab, die als “Jobs” bezeichnet werden, und führt sie aus. Diese Befehle umfassen die Möglichkeit, Dateien zu übertragen, Dateien auszuführen, das System zu profilieren, den Computer neu zu starten und Systemdienste zu deaktivieren. Die Malware maskiert seinen Netzwerkverkehr als Das Orion Improvement Program (OIP)-Protokoll und speichert Aufklärungsergebnisse in legitimen Plug-In-Konfigurationsdateien, so dass es sich mit legitimen SolarWinds-Aktivitäten vermischen kann. Die Hintertür verwendet mehrere verschleierte Blocklisten, um forensische und Antiviren-Tools zu identifizieren, die als Prozesse, Dienste und Treiber ausgeführt werden.”
Eine Frage, die nun beantwortet werden muss, ist, warum SolarWinds dies nicht früher behoben hat.
Wer ist von SUNBURST betroffen?
Jeder, der die SolarWinds Orion Plattform nutzt. Auf seiner Website hat SolarWinds eine teilweise Liste von 98 Kunden und sagt, dass seine vollständige Kundenliste folgende Benutzer umfasst:
• Mehr als 425 der US-Fortune 500 Unternehmen
• Alle zehn der zehn führenden US-Telekommunikationsunternehmen
• Alle fünf Zweige des US-Militärs
• Das US-Pentagon, das Außenministerium, die NASA, die NSA, der Postdienst, die NOAA, das Justizministerium und das Büro des Präsidenten der Vereinigten Staaten
• Alle fünf der fünf führenden US-Rechnungslegungsfirmen
• Hunderte von Universitäten und Hochschulen weltweit
Diese Größe des Kundenstamms deutet darauf hin, dass die Auswirkungen dieses Angriffs möglicherweise schon lange nicht bekannt sind. Es wird einige Zeit dauern, bis all diese Unternehmen ihre eigenen Untersuchungen beginnen und abschließen. Ein Unternehmen, das bereits reagiert hat, ist Microsoft. Es hat ein Definitionsupdate für Microsoft Defender veröffentlicht, um die SolarWinds DLL zu erkennen.
Was bedeutet das?
Als FireEye letzte Woche kompromittiert wurde, hieß es, es sei das Opfer eines hochentwickelten staatlich geförderten Angreifers. Laut Aussagen von verschiedenen Personen, die sowohl mit dem Sicherheitsvorfall bei FireEye als auch mit der Übernacht-Ankündigung von SolarWinds in Verbindung stehen, wird angenommen, dass die Angreifer Russen sind. Ob es sich um einen Ableger einer bestehenden Gruppe handelt, oder um eine Zusammenarbeit zwischen bestehenden Gruppen oder einem Teil der GRU, ist noch unklar. Sie haben zumindest einen Namen, UNC2452.
Andere US-Veröffentlichungen haben nun die Berichterstattung von Reuters weiterverfolgt. Der allgemeine Eindruck ist, dass dieser Angriff ein Fuß in die Systeme war, an denen die Angreifer interessiert waren. Von dort aus haben sie andere Tools eingesetzt, um weitere Daten zu sammeln, die dann abgezogen wurden.
Es wird zudem behauptet, dass die Angreifer in der Lage gewesen seien, E‑Mails der Mitarbeiter bei der National Telecommunications and Information Administration (NTIA) zu überwachen. Dies erfolgte durch einen Einbruch in die Microsoft Office 365-Software, die von der NTIA verwendet wird. Sollte dies bestätigt werden, haben die Angreifer womöglich auf eine riesige Datenschatzsammlung zugegriffen. Microsoft weigert sich derzeit, einen Kommentar abzugeben.
Washington reagiert
Die Cybersecurity and Infrastructure Security Agency (CISA) hat am 13.12. die Notfallrichtlinie 21–01 als Reaktion auf einen bekannten Kompromiss mit SolarWinds Orion-Produkten erlassen, die derzeit von böswilligen Akteuren ausgenutzt werden. Diese Notfallrichtlinie fordert alle zivilen Bundesbehörden auf, ihre Netze auf Kompromissindikatoren zu überprüfen und SolarWinds Orion-Produkte sofort abzuschalten oder herunterzufahren.
Fazit:
SolarWinds-Kunden müssen jetzt dringend Abhilfe schaffen, indem sie aktualisieren und hochpatchen. Die Angreifer werden wahrscheinlich auf die Enthüllungen des Wochenendes reagieren und versuchen, sich erneut in die Systeme einzubetten, bevor diese gepatcht werden.
Daniela Ruckwied ist seit 2017 bei der DATEV eG als IT-Consultant im Bereich IT-Strategie, IT-Sicherheit & Datenschutz tätig. Sie ist als externe Datenschutzbeauftragte bei mehreren Kanzleien und Unternehmen benannt und führt als Datenschutzauditor (TÜV) und IT-Auditor (IDW) IT- und Datenschutzaudits bei Mandanten in diversen Branchen durch. Davor war sie als IT-Consultant im Fachbereich Wirtschaftsprüfung bei einem Software-Hersteller und bei einer der Big Four-Gesellschaften in Stuttgart tätig. Zuvor absolvierte sie ein Bachelor- und ein Masterstudium der Wirtschaftswissenschaften in Heilbronn, inkl. Auslandsstudium Master of Business Administration an der UNCG in USA.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare