Icon Informationssicherheit
Informationssicherheit

SolarWinds – Zertifizierte Hintertür

Maximilian Klose
Verfasst von: Maximilian Klose
Berater Cloud- & Cyber-Security

Der 12. Dezember 2020 begann mit einer Schockmeldung für alle SolarWinds-Nutzer. Ein Update vom legitimen Server enthielt Programm-Code, welcher es Angreifern möglich macht in Umgebungen, auf denen SolarWinds installiert ist, einzudringen – eine sogenannte Backdoor.

Betroffen sind ungefähr 18.000 Kunden des Softwareherstellers. Der Angriff begann vermutlich im Oktober 2019 und blieb bis Dezember 2020 unentdeckt. Besonders besorgniserregend ist hierbei, dass der Angriff nur zufällig von einem Mitarbeiter eines privaten IT-Sicherheitsdienstleisters entdeckt wurde. Dieser bekam eine Nachricht über ein neues auf seinen Namen angemeldetes Gerät.

Was ist SolarWinds?

SolarWinds ist ein Softwarehersteller aus den USA, der eine große Produktbandbreite abdeckt. Bei dem angegriffenen System handelt es sich um die Orion-Plattform. Die Orion-Plattform ist ein Monitoring Tool, welches Daten über das eigene Netzwerk erhebt und erlaubt, dieses zu optimieren. Um SolarWinds-Orion den notwendigen Einblick zu ermöglichen, ist es üblich, dass Netzwerkadministratoren SolarWinds-Orion mit weitreichenden Rechten konfigurieren. Dieser Umstand macht es zu einem lohnenden Ziel für Angreiferaktivitäten. SolarWinds-Orion wird weltweit von Unternehmen jeglicher Profession genutzt.

Wie wurde der Angriff ausgeführt?

Der Angriff zielte direkt auf die Lieferkette und gehört damit zur Kategorie der „Supply-Chain“ Angriffe. Die Angreifer haben sich Zugang zur Entwicklungs- oder der Verteilerebene von SolarWinds verschafft und schleusten an dieser Stelle ihren Code ein.

Die ersten Anzeichen für einen Angriff gab es im Oktober 2019. Angreifer schleusten funktionslose Code-Bausteine in die Orion-Umgebung ein.  Nachdem diese Tests geglückt waren, wurde die eigentliche Malware eingebaut. Dies geschah zu einem frühen Zeitpunkt der Entwicklung, wodurch die Malware digital signiert wurde. Diese Signatur führte zu einem größeren Vertrauen und ausgedehnten Rechten, welche für die Dateien eingeräumt wurden.

Nachdem die DLL-Datei, in welcher die Malware versteckt war, geladen und ausgeführt wurde, „schlief“ die Malware für bis zu 10 Tage. Einmal aufgewacht überprüfte sie, ob sie sich in einem realen System und nicht etwa auf dem Rechner eines Analysten befindet. Erst nachdem diese Tests erfolgreich waren, wurde die Hintertür geöffnet. Ab diesem Zeitpunkt hatten Angreifer Zugriff auf das System.

Wer ist von dem Angriff betroffen?

Betroffen sind alle Server, welche das entsprechende, von SolarWinds für die Orion-Plattform zur Verfügung gestellte Update2 installierten.  Die Zahl der betroffenen Unternehmen beläuft sich auf schätzungsweise 18.000. Da das Ziel des Angriffes nicht darin bestand einzelne Konzerne arbeitsunfähig zu machen, wie es beispielsweise bei Ransomware-Angriffen der Fall ist, sondern um das Sammeln vertraulicher Informationen, könnten deutlich mehr Unternehmen betroffen sein.

„Wir wissen nicht, in welchen Netzwerken sie sind, wie tief sie drin sind, welchen Zugang sie haben, welche Werkzeuge sie zurückgelassen haben“ Sicherheitsexperte Bruce Schneier zu AP.

Das Zitat spiegelt die aktuelle Situation wider. Das Ausmaß ist nur zu erahnen. Selbst Microsoft musste einräumen, dass die Angreifer unbemerkt bis an den Sourcecode3 verschiedener Microsoft-Dienste gelangen konnten. Was die Angreifer mit diesen erbeuteten Informationen anfangen, ist bisher unklar. IT-Administratoren aus aller Welt versuchen gerade herauszufinden, welche Daten in ihren Systemen ausgespäht wurden. Viele der betroffenen Unternehmen könnten als Multiplikatoren4 verwendet werden, um mit den erbeuteten Daten einen einfacheren Weg in Systeme diverser anderer Unternehmen zu öffnen. Aber auch personenbezogene Daten könnten erbeutet worden sein. Zu den in Deutschland ansässigen Opfern in öffentlicher Hand zählen beispielsweise das BKA, das RKI und das Kraftfahrtbundesamt.

Welche Schritte sind nun notwendig?

Sollte das eigene System betroffen und eines der entsprechenden Updates ausgeführt worden sein, muss dringend das von Solar Winds zur Verfügung gestellte Update5 installiert werden. Wenn MS 365 zum Einsatz kommt, bietet Microsoft die Möglichkeit an, mit dem „365 Defender“ detaillierte Informationen über die im eigenen System infizierten Daten zu erhalten6. Gerne beraten wir Sie und unterstützen Sie bei der Überprüfung.

Wie kann man sein System schützen?

Der Umfang des Angriffs zeigt, dass die Anforderungen an die Systemadministration, die IT-Sicherheit und die Informationssicherheit stetig steigen. Bei dem hier beleuchteten Angriff wurde darauf vertraut, dass der angebotene Download nicht kompromittiert ist, was durch die korrekte Signatur und den offiziellen Verteilerkanal auch glaubhaft gemacht wurde.

Für Anwender empfiehlt es sich, die eigene Produktkette zu kennen und zu prüfen. Welche Dienste werden eingekauft, sind diese vertrauenswürdig? Welche Berechtigungen werden vergeben und was kann mit diesen angefangen werden? Wie ist meine eigene Datenstruktur und gibt es Daten, welche ich besonders schützen muss, da sie für Angreifer interessant sein können?

Des Weiteren bietet das Open Web Application Security Project (OWASP) einen Überblick, welche Angriffe besonders häufig stattfinden: die OWASP Top 10. Es ist notwendig, diese Liste genau im Blick zu haben und Maßnahmen zur Verteidigung gegen die aufgeführten Angriffe zu Implementieren. Zu weiteren technischen oder „social engineering“-Maßnahmen beraten wir sie gerne.

Weiterführende Links:

 

1 Alternativer Zugang zu einer Software, Hardware oder einem Netzwerk

2 Update 2019.4 HF, 2020.2 und 2020.2 HF1

3 Auch Quellcode ist der für Menschen lesbare Text eines Computerprogramms. Er wird in einer Programmiersprache verfasst und bietet alle Informationen darüber wie ein Programm funktioniert

4 Angriffsziel welches Daten dritter gespeichert hat die anschließend genutzt werden können

5https://www.solarwinds.com/securityadvisory hier findet sich eine Liste mit betroffenen Systemen und den notwendigen Schritten

6https://www.microsoft.com/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.