Analyse: Zero-Day-Angriff von SolarWinds
Mitte Juli 2021 war eine dunkle Zeit für den in Texas ansässigen Softwareanbieter SolarWinds, da das Unternehmen einem Angriff eines einzelnen Bedrohungsakteurs ausgesetzt war, der Sicherheitslücken in seinen Produkten Serv-U Managed File Transfer und Serv-U Secure FTP ausnutzte. Dieser Zero-Day-Angriff verursachte bei einer begrenzten Anzahl von SolarWinds-Kunden erheblichen Schaden und verdeutlichte die Notwendigkeit robuster Cyber-Abwehrsysteme und Maßnahmen zur Verhinderung ähnlicher Angriffe.
Der Zero-Day-Angriff auf SolarWinds begann am 15. Juli, als ein einzelner Bedrohungsakteur Sicherheitslücken sowohl in Serv-U Managed File Transfer (MFT) als auch in Serv-U Secure FTP ausnutzte, die von Unternehmen und Privatpersonen häufig verwendet werden, um Dateien sicher zwischen Systemen zu übertragen. Der Bedrohungsakteur griff Kunden in einem nicht genannten Land an, obwohl angenommen wird, dass die Angriffe stammen aus China.
Microsoft hat SolarWinds vor einem Zero-Day-Angriff gewarnt
SolarWinds wurde am selben Tag auf den Angriff aufmerksam, nachdem er von Microsoft gewarnt worden war, und gab an, dass er bereits von Cyberangreifern verwendet worden war, um seine Kunden anzugreifen, und kommentierte „Microsoft hat Beweise geliefert“, obwohl die Auswirkungen „begrenzt und zielgerichtet“ waren.
Laut Microsoft werden diese Arten von Angriffen immer häufiger, da Bedrohungsakteure verschiedene Schwachstellen in einer Vielzahl von Softwareprodukten ausnutzen.
Während SolarWinds die Sicherheitsprobleme inzwischen behoben und seine Sicherheitsmaßnahmen verbessert hat, um ähnliche Angriffe in Zukunft zu verhindern, unterstreicht die Bedrohung die Notwendigkeit für Unternehmen und Einzelpersonen, in Bezug auf die Cybersicherheit wachsam zu bleiben. Da Cyberkriminelle immer geschickter darin werden, Softwarefehler auszunutzen, ist es heute wichtiger denn je, über starke Abwehrmaßnahmen zu verfügen.
SolarWinds-Sicherheitspatch für Zero-Day
Nach diesem verheerenden Angriff arbeitete SolarWinds schnell daran, die Sicherheitslücken mit einem Hotfix zu beheben. In einer Erklärung, die kurz nach der Entdeckung der Angriffe veröffentlicht wurde, räumte SolarWinds den Zero-Day-Angriff ein und versprach, Maßnahmen zu ergreifen, um zukünftige Angriffe zu verhindern.
Das Unternehmen forderte seine Kunden auf, ihre Systeme umgehend zu aktualisieren.
Da täglich eine ständig wachsende Anzahl von Cyber-Bedrohungen auftaucht, ist es von entscheidender Bedeutung, dass Unternehmen und Einzelpersonen gleichermaßen Maßnahmen ergreifen, um sich vor Angriffen wie diesen zu schützen.
Wer steckte hinter dem Zero-Day-Angriff von SolarWinds?
Wie dieser Vorfall zeigt, kann es schwierig sein, die wahre Quelle von Cyberangriffen und Sicherheitslücken zu ermitteln.
Der Zero-Day-Angriff auf SolarWinds wurde von einem neuen Bedrohungsakteur namens DEV-0322 ausgeführt, von dem angenommen wird, dass er in China ansässig ist. Es wird angenommen, dass die Angreifer ausgeklügelte Techniken und Taktiken verwendet haben, einschließlich Exploits von zuvor unbekannten Schwachstellen, um ihren Angriff durchzuführen. Dies deutet darauf hin, dass die Angreifer möglicherweise erhebliche Ressourcen zur Verfügung hatten.
Auch wenn noch nicht bekannt ist, wer hinter dem Angriff steckt, scheint er von einer raffinierten Gruppe mit umfangreichen Ressourcen sorgfältig geplant und ausgeführt worden zu sein.
Weiterführende Literatur zum Zero-Day von SolarWinds
Microsoft hat ein spezielles Team zur Erforschung und Analyse von Zero-Day-Angriffen wie dem jüngsten Angriff auf SolarWinds zusammengestellt. Diese Gruppe, die als Offensive Research & Security Engineering (ORSE)-Team bekannt ist, konzentriert sich auf die Unterstützung von Teams wie MSTIC mit fortgeschrittenem Know-how in der Exploit-Entwicklung.
Dieses neue ORSE-Team wurde als Reaktion auf die zunehmende Anzahl und Komplexität von Zero-Day-Angriffen auf Unternehmen wie SolarWinds gegründet. Ihr Ziel ist es, Microsoft ein tieferes Verständnis dieser Bedrohungen zu vermitteln, damit das Unternehmen seine Kunden in Zukunft besser vor ähnlichen Vorfällen schützen kann.
Das ORSE-Team vereint die Talente erfahrener Sicherheitsforscher, Ingenieure, Datenwissenschaftler und Präventionsexperten, um bei der Entwicklung neuer Abwehrmaßnahmen gegen Zero-Day-Angriffe zu helfen. Durch die Kombination von Spitzenforschung und praktischer Anwendung trägt dieses Team dazu bei, die Produkte von Microsoft für alle sicherer zu machen.
Das ORSE-Team hat bereits wichtige Beiträge auf dem Gebiet der Cybersicherheit geleistet, einschließlich der Entwicklung einer Reihe fortschrittlicher Methoden zur Abwehr von Zero-Day-Exploits. Ihre Arbeit war ausschlaggebend für den Schutz vor vielen der neuesten Angriffe und wird auch weiterhin ein wichtiger Faktor für die Sicherheit von Unternehmen im Internet sein.
Technische Details zu SolarWinds Zero-Day Bereitgestellt vom ORSE-Team
Für diejenigen, die daran interessiert sind, ging das Deep Dive des ORSE-Teams extrem detailliert auf SSH in Serv-U ein und lieferte die „wahrscheinlichste Instanz eines solchen Codes“:
Sie können dem vollständigen Deep Dive folgen im Microsoft-Blog.
Ähnliche Artikel
Andere Beiträge und Artikel, die Sie interessieren könnten.
