Attacken per SolarWinds: Alternative Angriffswege zu manipulierten Orion-Updates

Die Sicherheitssoftware-Firma Malwarebytes wurde kürzlich zum Ziel der SolarWinds-Akteure. Der erfolgreiche Angriff fußte aber auf Microsoft Office 365 & Azure.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 22 Beiträge

(Bild: Timofeev Vladimir/Shutterstock.com)

Von
  • Olivia von Westernhagen

Das Sicherheitssoftware-Unternehmen Malwarebytes hat mitgeteilt, erst kürzlich einem erfolgreichen Angriff jener Akteure zum Opfer gefallen zu sein, die zuvor die "Orion"-Software der Firma SolarWinds kompromittiert und sich mittels manipulierter Updates Zugriff auf Netzwerke zahlreicher US-Behörden und bekannter Firmen verschafft hatten. Der Unterschied zu früheren Angriffen bestehe darin, dass Malwarebytes nach eigenen Angaben keine SolarWinds-Software nutze.

"Wir können die Existenz eines weiteren Angriffsvektors bestätigen, der auf einem Missbrauch von Anwendungen mit privilegiertem Zugriff auf Microsoft Office 356- und Azure-Umgebungen basiert", erläutert Malwarebytes in einem Blogeintrag. In diesem Zusammenhang verwies das Unternehmen auf einen bereits Anfang Januar veröffentlichten Report der US-Sicherheitsbehörde CISA, der sich mit Office 365 und Azure als zusätzlichen initialen Angriffsvektoren neben SolarWinds Orion-Produkten befasst. Darin hieß es, man habe beobachtet, wie kompromittierte Anwendungen innerhalb von Microsoft (Office) 365- und Azure-Konten für den Einbruch verwendet worden seien. Konkrete Angriffsziele hatte die CISA darin aber nicht genannt.

Die Cloud-Computing-Plattform Azure nutzt Malwarebytes nach eigenen Angaben nicht; wohl aber Office 365. Laut Blogeintrag wurde das Unternehmen am 15. Dezember von Microsoft über verdächtige Aktivitäten einer auf Office 365 zugreifenden Drittanbieter-Anwendung informiert. Die verwendeten "tactics, techniques and procedures (TTPs)" hätten schon zu diesem Zeitpunkt auf die SolarWinds-Angreifer hingewiesen; weitere Details hierzu nennt der Blog allerdings nicht.

Gemeinsam mit Microsoft’s Detection and Response Team (DART) habe man schließlich Hinweise darauf gefunden, dass ein "untätiges" E-Mail-Schutz-Produkt in Malwarebytes Office 365-Konto den Angreifern Zugriff auf eine begrenzte Menge interner Firmen-E-Mail-Kommunikation gewährt habe. Eine gründliche Untersuchung der eigenen Netzwerk-Infrastruktur habe keine weiteren Hinweise auf eine Kompromittierung der Server geliefert. Kunden könnten insbesondere die Malwarebytes-Software weiterhin bedenkenlos nutzen.

Erst kürzlich war eine authentisch wirkende Website aufgetaucht, auf der die Gangster hinter den SolarWinds-Angriffen offenbar einen Teil ihrer "Beute", darunter Windows-Quellcode und FireEye-Angriffs-Tools, feilboten.

Auf welche Weise genau die Drittanbieter-Anwendung mit Zugriff auf MS Office 365 im Falle von Malwarebytes zum Einfallstor wurde, verrät der Blogeintrag nicht. Der Verweis auf den CISA-Report von Anfang Januar legt allerdings nahe, dass sich die Angreifer im Zuge der alternativen Angriffsvariante valider Zugangsdaten bedienen.

Die CISA nennt als von ihr beobachtete Angriffsvektoren das Raten von Passwörtern, so genanntes "Password Spraying", bei dem ein oder mehrere plausibel erscheinende Passwörter gezielt bei mehreren Accounts ausprobiert werden, sowie den Missbrauch schlecht gesicherter Passwörter für Dienste oder Admin-Konten.

Im Abschnitt "Mitigations" ihres Reports weist die CISA auf einige PowerShell-Tools, nämlich das CISA-eigene "Sparrow", das Open-Source-Tool Hawk und CrowdStrikes Azure Reporting Tool (CRT), hin, die beim Aufspüren verdächtiger Aktivitäten in 365- und Azure-Umgebungen nützlich sein können. Der Report umfasst überdies auch Hinweise zur Anwendung der Tools.

Zu den Cyber-Attacken via SolarWinds:

(ovw)