Microsoft enthüllt aktuelles Ziel von SolarWinds Cyberattack
Die Untersuchung von Microsoft zum schlagzeilengreifenden Cyberangriff von SolarWinds wird fortgesetzt. Weitere Informationen zu den Absichten der Angreifer werden bekannt.
Der Angriff, der von Microsoft als Solorigate (und von der Cybersicherheitsfirma FireEye als Sunburst bezeichnet) bezeichnet wurde, forderte zahlreiche hochkarätige Ziele, insbesondere US-Regierungsabteilungen.
Microsoft enthüllt mutmaßliches SolarWinds-Endziel
Als ob es nicht genug wäre, Kopfhaut wie das US-Finanzministerium und die Ministerien für innere Sicherheit, Staat, Verteidigung, Energie und Handel zu beanspruchen, zeigt ein kürzlich veröffentlichter Microsoft-Sicherheitsblog , dass das eigentliche Ziel des Angriffs Cloud-Speicher-Assets waren.
Die Angreifer erhielten mithilfe eines böswilligen SolarWinds Orion-Updates Zugriff auf die Zielnetzwerke. Nachdem zuvor SolarWinds kompromittiert und schädliche Dateien in ein Software-Update eingefügt worden waren, wurde den Angreifern bei der Installation des Updates vollständiger Zugriff auf das Netzwerk gewährt.
Einmal drinnen, haben die Angreifer "ein geringes Risiko der Erkennung, da die signierte Anwendung und die Binärdateien häufig sind und als vertrauenswürdig gelten".
Aufgrund des geringen Erkennungsrisikos konnten die Angreifer ihre Ziele auswählen. Wenn die Backdoor installiert ist, können sich Angreifer Zeit nehmen, um herauszufinden, wie wichtig es ist, das Netzwerk weiter zu erkunden, und "Low-Value" -Netzwerke als Fallback-Option zu belassen.
Microsoft glaubt, dass das letzte Motiv der Angreifer darin bestand, "den Backdoor-Zugriff zu verwenden, um Anmeldeinformationen zu stehlen, Berechtigungen zu eskalieren und sich seitlich zu bewegen, um die Möglichkeit zu erhalten, gültige SAML-Token zu erstellen".
SAML-Token (Security Assertion Markup Language) sind eine Art Sicherheitsschlüssel. Wenn die Angreifer den SAML-Signaturschlüssel (wie einen Hauptschlüssel) stehlen könnten, könnten sie von ihnen erstellte Sicherheitstoken erstellen und validieren und dann diese selbstvalidierten Schlüssel verwenden, um auf Cloud-Speicherdienste und E-Mail-Server zuzugreifen.
Mit der Möglichkeit, illegale SAML-Token zu erstellen, können die Angreifer auf vertrauliche Daten zugreifen, ohne von einem kompromittierten Gerät stammen zu müssen oder sich auf die lokale Persistenz zu beschränken. Durch den Missbrauch des API-Zugriffs über vorhandene OAuth-Anwendungen oder Dienstprinzipien können sie versuchen, sich in das normale Aktivitätsmuster einzufügen, insbesondere in Apps oder Dienstprinzipien.
Die NSA stimmt dem Missbrauch der Authentifizierung zu
Anfang Dezember 2020 veröffentlichte die Nationale Sicherheitsagentur einen offiziellen Cybersecurity Advisory [PDF] mit dem Titel "Aufdeckung des Missbrauchs von Authentifizierungsmechanismen". Der Hinweis bestätigt sehr stark die Analyse von Microsoft, dass die Angreifer SAML-Token stehlen wollten, um einen neuen Signaturschlüssel zu erstellen.
Die Akteure nutzen den privilegierten Zugriff in der lokalen Umgebung, um die Mechanismen zu untergraben, die das Unternehmen verwendet, um den Zugriff auf Cloud- und lokale Ressourcen zu gewähren und / oder Administratoranmeldeinformationen zu gefährden und Cloud-Ressourcen zu verwalten.
Sowohl das Microsoft Security-Blog als auch das NSA Cybersecurity Advisory enthalten Informationen zur Absicherung der Netzwerksicherheit zum Schutz vor Angriffen sowie Informationen darüber, wie Netzwerkadministratoren Anzeichen einer Infiltration erkennen können.