• IT-Karriere:
  • Services:

Angriff: Microsoft via Solarwinds gehackt

Neben Fireeye ist auch Microsoft von der Schadsoftware Sunburst befallen worden. Das Unternehmen will einen Killswitch gefunden haben.

Artikel veröffentlicht am ,
Welche Teile von Microsofts Infrastruktur betroffen sind, ist noch nicht bekannt.
Welche Teile von Microsofts Infrastruktur betroffen sind, ist noch nicht bekannt. (Bild: Gerd Altmann/Pixabay)

Auch Microsoft ist von den Angriffen auf Tausende Unternehmen, Behörden und Organisationen betroffen, die über eine trojanisierte Version der IT-Überwachungs- und Verwaltungssoftware Orion von Solarwinds durchgeführt wurde. Die Eindringlinge konnten ihre Schadsoftware Sunburst über die Build-Systeme von Solarwinds in die signierten Softwarepakete einbringen, die der Hersteller zwischen März und Juni über seine Updateserver verteilt hatte. Derweil wollen mehrere Unternehmen einen Killswitch gefunden haben, mit der sich die Schadsoftware deaktivieren lässt.

Stellenmarkt
  1. TenneT TSO GmbH, Bayreuth
  2. Rosemarie Eppers GmbH & Co. KG, Saarbrücken

"Wie andere Solarwinds-Kunden haben wir aktiv nach Indikatoren für diesen Akteur gesucht und können bestätigen, dass wir bösartige Solarwinds-Binaries in unserer Umgebung entdeckt haben, die wir isoliert und entfernt haben", erklärte Microsoft in einer Stellungnahme.

"Wir haben keine Hinweise auf einen Zugriff auf Produktionsdienste oder Kundendaten gefunden", heißt es vonseiten Microsofts weiter. Die Untersuchungen dauerten jedoch noch an. Bisher gebe es keine Hinweise darauf, dass Microsofts-Systeme für Angriffe auf andere genutzt worden seien.

Killswitch über Domain

Eine Koalition aus Tech-Unternehmen, darunter Microsoft, die Sicherheitsfirma Fireeye und der Webhoster und Domainhändler Godaddy, konnten derweil eine Domain ausfindig machen, die als Command-and-Control-Server (C&C) für Malware diente. Wurde eine trojanisierte Version der Software Orion über Solarwinds Update-Server installiert, blieb die Schadsoftware Sunburst 14 Tage lang inaktiv und kontaktierte dann eine Subdomäne von avsvmcloud.com.

Über die DNS-Antwort auf diese Anfrage, wurde der Schadsoftware Sunburst via CNAME-Eintrag eine andere Domain mitgeteilt, über welche sich die Schadsoftware Instruktionen abholte. Die Domain wurde von der Koalition aus Tech-Unternehmen beschlagnahmt und ging in den Besitz von Microsoft über, dadurch soll die Schadsoftware nicht mehr mit dem Command-and-Control-Server (C&C) kommunizieren können.

Zudem erhält Microsoft durch die Anfragen einen Überblick über die aktuell noch befallenen Instanzen. Allerdings hilft die Maßnahme nur, wenn die Angreifer nicht bereits weitere Zugänge in die betroffenen Unternehmensnetzwerke gelegt haben, betonte Fireeye in einer Mitteilung an das Onlinemagazin ZDnet.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Insgesamt 18.000 Betroffene

Neben Microsoft sind bisher die Firma Fireeye sowie mehrere US-Behörden, darunter das Finanzministerium, das Department of Homeland Security (DHS) und Cybersecurity and Infrastructure Agency (CISA), als Opfer der Angriffe bekanntgeworden. Insgesamt sollen 18.000 Organisationen, Behörden und Unternehmen über Updates der Orion kompromittiert worden sein, wie der Hersteller Solarwinds mitteilte. Allerdings soll die Schadsoftware nicht bei allen Betroffenen auch genutzt worden sein. Verantwortlich für diese soll die russische Hackergruppe APT29 sein, die auch Cozy Bear genannt wird.

Solarwinds hatte bereits in der Vergangenheit mehrfach Sicherheitsprobleme. So wurde ein schlechtes Passwort für die Update-Server über Github veröffentlicht, das rund eineinhalb Jahre online war. Zuvor hatten Eindringlinge bereits Zugänge zur Unternehmensinfrastruktur in Hackerforen angeboten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 189€ (Bestpreis)
  2. 189,99€ (Bestpreis)
  3. 819€ (Ebay Plus - Bestpreis)
  4. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)

holzi 21. Dez 2020 / Themenstart

Das wäre dann praktisch ein Backdoor im Backdoor ;-)

CraWler 20. Dez 2020 / Themenstart

Ich finde es ja richtig das man eine solche Domain sofort offline nimmt bzw. Umleitet...

Eheran 19. Dez 2020 / Themenstart

Vermutlich eine Ladung Aluhüte.

john4344 18. Dez 2020 / Themenstart

Security heutzutage funktioniert ein wenig anders als die Vorstellung die hier...

Kommentieren


Folgen Sie uns
       


Viewsonic M2 - Test

Der kleine LED-Projektor eignet sich für Präsentationen und als flexibles Kino für unterwegs.

Viewsonic M2 - Test Video aufrufen
    •  /