Die umfangreiche Hacking-Kampagne im Zusammenhang mit dem weit verbreiteten SolarWinds-Hack, hat nun auch Microsoft erreicht.
Einen illegalen Account im Zusammenhang mit dem weit verbreiteten SolarWinds-Hack haben Hacker dazu verwendet, um einen Teil des internen Quellcodes von Microsoft anzuzeigen, teilte das Unternehmen am Donnerstag mit.
Der Hack begann bereits im März, als Hacker bösartigen Code in Updates der SolarWinds-Software zur Überwachung von Computernetzwerken eingefügt haben. SolarWinds ist ein auf Netzmanagement-Software spezialisiertes US-amerikanisches Unternehmen. Das vom Hack betroffenen Produkt ist die Orion Platform. Damit lässt sich die gesamte IT-Infrastruktur zentral überwachen, analysieren und verwalten. Verwendet wird sie von den meisten US-amerikanischen Großunternehmen sowie von zahlreichen Regierungskunden. Der Konzern warnte davor, dass 18.000 seiner Kunden über das manipulierte Update von Hackern infiltriert sein könnten. Microsoft gab Anfang dieses Monats bekannt, dass es mehr als 40 Regierungsbehörden, Think Tanks, Nichtregierungsorganisationen und IT-Unternehmen identifiziert hat, die die Hacker infiltriert haben. Auch das Unternehmen selbst ist von der Hacker-Attacke betroffen.
Microsoft gibt Hacker-Aktivitäten bekannt
Gegenüber Reuters gab Microsoft an
„Wie andere SolarWinds-Kunden haben auch wir aktiv nach Indikatoren für diesen Angreifer gesucht. Wir können bestätigen, dass wir bösartige SolarWinds-Binärdateien in unserer Umgebung entdeckt haben, die wir isoliert und entfernt haben“,
Gemäß der Untersuchung von Microsoft konnte das Konto keinen Code oder keine technischen Systeme ändern. Das Unternehmen betont außerdem, dass es noch keine Beweise dafür gefunden habe, dass Hacker auf Live-Dienste oder Kundendaten zugegriffen haben. Auch sind keine Beweise dafür bekannt, dass sie Microsoft-Systeme verwendet haben, um andere anzugreifen.
Weder Kundendaten noch Sicherheit von Unternehmens-Diensten gefährdet?
Microsoft gibt bekannt
Microsoft-Firmengebäude in Köln“Wir haben ungewöhnliche Aktivitäten bei einer kleinen Anzahl interner Konten festgestellt. Bei einer Überprüfung zeigte sich dann, dass ein Konto zum Anzeigen von Quellcode in einer Reihe von Quellcode-Repositorys verwendet wurde. Das Konto hatte keine Berechtigung zum Ändern von Code oder technischen Systemen, und unsere Untersuchung bestätigte ferner, dass die Hacker keine Änderungen infolge vorgenommen haben. Diese Konten haben wir untersucht und korrigiert. […] Diese Aktivität hat weder die Sicherheit unserer Dienste noch Kundendaten gefährdet. Aber wir möchten transparent sein. Das, was wir lernen werden wir teilen, wenn wir gegen das kämpfen, was wir für einen hoch entwickelten nationalstaatlichen Akteur halten.“
Experten lassen jedoch durchblicken, dass selbst die Möglichkeit, den Code einzusehen, Hackern Einblicke bieten könnte, die ihnen helfen würden, Microsoft-Produkte oder -Dienste zu untergraben. Andrew Fife von Cycode, führt aus
“Der Quellcode ist die architektonische Blaupause für die Erstellung der Software. Wenn Sie die Blaupause haben, ist es viel einfacher, Angriffe zu konstruieren.”
Mike Chapple, ehemaliger Beamter der National Security Agency und Professor für Informationstechnologie an der University of Notre Dame, befürchtet, die Angreifer suchten wahrscheinlich nach potenziellen Sicherheitslücken in Microsoft-Produkten, die sie ausnutzen könnten, um Zugang zu Benutzern dieser Produkte zu erhalten.
„Cybersecurity-Experten müssen sich jetzt Sorgen machen, dass diese Informationen, die in die falschen Hände geraten, die nächste Sicherheitslücke auf SolarWinds-Ebene in einem Microsoft-Produkt verursachen könnten“.
Microsoft hingegen beschwichtigt
„Wir verlassen uns bei der Sicherheit von Produkten nicht auf die Geheimhaltung des Quellcodes. Unsere Bedrohungsmodelle gehen davon aus, dass Angreifer Kenntnisse über den Quellcode haben. Das Anzeigen von Quellcode ist also nicht an eine Erhöhung des Risikos gebunden.“
Fraglich bleibt, wie es den Hackern überhaupt möglich war, Solarwinds Update-Server zu kompromittieren. Einen Erklärungsversuch bietet der Sicherheitsforscher Vinoth Kumar gegenüber Reuters an.
Demgemäß hätte er bereits schon im vergangenen Jahr SolarWinds darüber informiert, dass das von ihnen für die Update-Server verwendete Passwort „solarwinds123“ zu schwach sei.
Tarnkappe.info