Microsoft blockiert Sunburst-Malware im Stammverzeichnis von SolarWinds Hack

Eskere Guru

Microsoft blockiert jetzt die Sunburst-Hintertür, die beim SolarWinds-Cyberangriff verwendet wurde, bei dem weltweit zahlreiche Opfer gefordert wurden.

Die Sunburst-Hintertür ist ein wesentliches Merkmal des laufenden Supply-Chain-Angriffs, und die Veröffentlichung einer globalen Malware-Signatur dürfte die Bedrohung erheblich verringern.

Was ist der SolarWinds-Cyberangriff?

Im Dezember 2020 gaben zahlreiche US-Regierungsbehörden bekannt, Opfer einer umfangreichen Hacking-Operation zu sein. Die Hintertür für den Angriff wurde mithilfe eines böswilligen Updates über die SolarWinds Orion IT-Verwaltungs- und Fernüberwachungssoftware eingefügt.

Zum Zeitpunkt des Schreibens hat der SolarWinds-Hack das US-Finanzministerium sowie die Ministerien für innere Sicherheit, Staat, Verteidigung und Handel als Opfer mit dem Potenzial für weitere Enthüllungen beansprucht.

Verwandte: Diese Sicherheitsexperten machen Ihr Leben sicherer

Das wahre Ausmaß des SolarWinds-Angriffs ist noch nicht bekannt. Im Gespräch mit der BBC sagte der Cybersicherheitsforscher Prof. Alan Woodward: "Nach dem Kalten Krieg ist dies eine der potenziell größten Durchdringungen westlicher Regierungen, die mir bekannt sind."

Was ist die Sunburst-Hintertür?

Solch ein gewaltiger Angriff dauerte Monate, wenn nicht Jahre der Planung. Der Angriff wurde mit der Bereitstellung eines unentdeckten böswilligen Updates für die SolarWinds Orion-Software in Gang gesetzt.

Unbekannt für SolarWinds und ihre Benutzer, von denen viele Regierungsabteilungen sind, hatte ein Bedrohungsakteur ein Update infiziert.

Das Update wurde auf mindestens 18.000 und möglicherweise bis zu 300.000 Kunden eingeführt. Bei Aktivierung löste das Update eine trojanisierte Version der Orion-Software aus, die dem Angreifer den Zugriff auf den Computer und das weitere Netzwerk ermöglichte.

Dieser Prozess wird als Supply-Chain-Angriff bezeichnet. Der Hack wurde von FireEye entdeckt, die selbst im Dezember 2020 Opfer eines bekannten Datenschutzverstoßes wurden.

Verwandte: Führende Cybersicherheitsfirma FireEye von nationalstaatlichem Angriff getroffen

Die Zusammenfassung des FireEye-Berichts lautet:

Die Akteure hinter dieser Kampagne erhielten Zugang zu zahlreichen öffentlichen und privaten Organisationen auf der ganzen Welt. Sie erhielten Zugang zu Opfern durch trojanisierte Updates der Orion IT-Überwachungs- und Verwaltungssoftware von SolarWind. Diese Kampagne hat möglicherweise bereits im Frühjahr 2020 begonnen und läuft derzeit. Die Aktivitäten nach dem Kompromiss nach diesem Kompromiss in der Lieferkette umfassten seitliche Bewegungen und Datendiebstahl.

Sunburst ist also der Name, mit dem FireEye den Cyberangriff verfolgt, und der Name der Malware, die über die SolarWinds-Software verbreitet wird.

Wie blockiert Microsoft die Sunburst-Hintertür?

Microsoft führt Erkennungen für seine Sicherheitstools ein. Sobald die Malware-Signatur für Windows Security (ehemals Windows Defender) bereitgestellt wird, sind Computer unter Windows 10 vor Malware geschützt.

Gemäß dem Microsoft 365 Defender Threat Intelligence Team- Blog:

Ab Mittwoch, dem 16. Dezember, um 8:00 Uhr PST blockiert Microsoft Defender Antivirus die bekannten schädlichen SolarWinds-Binärdateien. Dadurch wird die Binärdatei unter Quarantäne gestellt, auch wenn der Prozess ausgeführt wird.

Microsoft bietet außerdem die folgenden zusätzlichen Sicherheitsschritte an, wenn Sie auf die Sunburst-Malware stoßen:

  1. Isolieren Sie das infizierte Gerät oder die infizierten Geräte sofort. Wenn Sie die Sunburst-Malware finden, wird Ihr Gerät wahrscheinlich von einem Angreifer kontrolliert.
  2. Wenn auf dem infizierten Gerät Konten verwendet wurden, sollten Sie diese als gefährdet betrachten. Setzen Sie ein Passwort für das Konto zurück oder deaktivieren Sie das Konto vollständig.
  3. Wenn möglich, untersuchen Sie, wie das Gerät kompromittiert wurde.
  4. Suchen Sie nach Möglichkeit nach Indikatoren, die darauf hinweisen, dass die Malware auf andere Geräte übertragen wurde. Dies wird als seitliche Bewegung bezeichnet.

Für die meisten Menschen sind die ersten beiden Sicherheitsschritte am wichtigsten. Weitere Sicherheitsinformationen finden Sie auch auf der SolarWinds- Website.

Es gibt keine Bestätigung der Identität der Angreifer, aber es wird angenommen, dass die Arbeit die Arbeit eines hoch entwickelten und gut ausgestatteten nationalstaatlichen Hacking-Teams ist.