Neue Variante der Solarwinds-Angriffstechnik von 2020 entdeckt

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Hack zahlreicher (US-)Behörden und -Firmen über Software von Solarwinds im Jahr 2020 dürfte noch vielen Lesern im Hinterkopf sein. Nun hat das Sicherheitsforschungsteam von Semperis eine neue Variante von "golden SAML" entdeckt, einer Angriffstechnik, die das SAML-Authentifizierungsprotokoll ausnutzt und die 2020 von der Hackergruppe Nobelium gegen Solarwinds eingesetzt wurde. Die Angriffstechnik wird als "Silver SAML" bezeichnet.


Anzeige

Im Jahr 2020 verursachte ein Hack zahlreicher (US-)Behörden und -Firmen über Software von Solarwinds ziemliche Wellen (siehe US-Finanzministerium und weitere US-Behörde gehackt und die Artikellinks am Beitragsende). Sicherheitsforscher hatten den als "golden SAML" bezeichneten Angriffsvektor bereits 2017 erstmals öffentlich beschrieben (siehe Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt).

Nun hat das Sicherheitsforschungsteam von Semperis eine neue Variante von "golden SAML", einer Angriffstechnik, die das SAML-Authentifizierungsprotokoll ausnutzt und die 2020 von der Hackergruppe Nobelium gegen Solarwinds eingesetzt wurde, entdeckt.

Golden SAML

Golden SAML wurde bei dem Cyberangriff auf Solarwinds im Jahr 2020 verwendet, dem bislang raffiniertesten nationalstaatlichen Hack der Geschichte. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat bösartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identitätsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identitätssystem wie Entra ID umzustellen.

Silver SAML

Die neu entdeckte Silver SAML-Schwachstelle kann selbst dann ausgenutzt werden, wenn Unternehmen die Sicherheitsempfehlungen zum Schutz vor Golden SAML befolgt haben. Mit Silver SAML können Bedrohungsakteure das Authentifizierungsprotokoll SAML (Security Assertion Markup Language) missbrauchen, um von einem Identitätsanbieter wie Entra ID aus Angriffe auf Anwendungen zu starten, die SAML für die Authentifizierung nutzen, wie beispielsweise Salesforce.


Anzeige

Schutz vor Silver SAML-Angriffen

Um sich effektiv gegen Silver SAML-Angriffe in Entra ID zu schützen, sollten Organisationen nur selbstsignierte Entra ID-Zertifikate für die SAML-Signierung verwenden. Organisationen sollten auch die Eigentumsrechte an Anwendungen in Entra ID einschränken. Außerdem sollten sie auf Änderungen an SAML-Signierschlüsseln achten, vor allem, wenn der Schlüssel nicht demnächst abläuft.

"Nach dem Cyberangriff auf Solarwinds erklärten Microsoft und andere, darunter auch die CISA, dass die Umstellung auf Entra ID (damals Azure AD) vor der Fälschung von SAML-Antworten, auch bekannt als Golden SAML, schützen würde. Leider ist der vollständige Schutz vor dieser Art von Angriffen differenzierter – wenn Unternehmen bestimmte Praktiken der Zertifikatsverwaltung von Active Directory Federation Services auf Entra ID übertragen, sind die Anwendungen in ihrem Bestand immer noch anfällig für SAML-Antwortfälschungen, die wir als Silver SAML bezeichnen", so Eric Woodruff, Forscher bei Semperis.

Die Semperis-Forscher stufen die Silver SAML-Schwachstelle als ein mäßiges Risiko für Unternehmen ein. Sollte Silver SAML jedoch dazu verwendet werden, sich unbefugten Zugang zu geschäftskritischen Anwendungen und Systemen zu verschaffen, könnte das Risiko je nach dem angegriffenen System auf ein schweres Niveau ansteigen. Weitere Informationen zur Silver SAML-Schwachstelle bietet Semperis in einem diesem Blogbeitrag (und hier auf Deutsch).

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus
SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten
SolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber
Microsoft Insides zum SolarWinds Orion SunBurst-Hack
SolarWinds-Angreifer nehmen Microsoft-Partner ins Visier – fehlende Cyber-Sicherheit bemängelt
SolarWinds-Kunden sollten Web Help Desk entfernen
SolarWinds Hack in 2020: Das US-Justizministerium wusste 6 Monate vorher Bescheid


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Neue Variante der Solarwinds-Angriffstechnik von 2020 entdeckt

  1. 1ST1 sagt:

    In dem Artikel bei Sempris ist auch ein Proof of Concept Exploit-Tool auf Github verlinkt. Es besteht also dringender Handlungsbedarf, um seine eigene Entra-Umgebung zumindestens mal auf die Schwachstellen abzuklopfen! Sieht aber so aus, als ob das alles quasi nur ein Konfigurationsproblem ist. Hier wieder auf MS zu schimpfen, wäre demnach zu kurz gefasst, das Ding muss jeder Betreiber selber absichern (lassen).

    • Jens sagt:

      > Hier wieder auf MS zu schimpfen,
      > wäre demnach zu kurz gefasst

      Hier NUR auf M$ zu schimpfen wäre zu kurz gefasst.

      Die sitzen hier auf jeden Fall an verantwortlicher Stelle im Boot. Natürlich müssen jetzt alle, die sich darauf eingelassen haben, trotzdem auch selbst handeln.

  2. Anonym sagt:

    Ich suche in diesem Zusammenhang ein möglichst dezidiertes Dokument der CISA, in welchem sie ADFS für tot erklärt bzw. dringend die Ausserdienststellung empfiehlt. (1), (2) sind bekannt, aber nicht hinreichend.

    (1) cisa.gov/news-events/cybersecurity-advisories/aa21-008a
    (2) redmondmag.com/articles/2022/02/14/azure-active-directory-certificate-based-authentication-preview.aspx

  3. Joachim sagt:

    Das Problem tritt nur bei der 2023er Version von Solarwinds auf. Aktuell ist die 2024.1 (seit Jänner!), die laut Solarwinds nicht betroffen ist. Da die 2024.1 auch Security Patches enthält, ist das Verwenden der 2023.x ziemlich fahrlässig. Jetzt hat die eine Schwachstelle mehr und Solarwinds bietet dafür sogar einen Patch an, statt auf die 2024.1 zu verweisen. Die Admins, die schon nicht auf die 2024.1 aktualisiert haben, werden auch nicht auf die gepatchte 2023.x aktualisieren.

    Für was patchen Firmen eigentlich ihre Produkte, wenn die Admins das monatelang oder sogar jahrelang ignorieren?

    Ich arbeite eng mit dem Teamlead des Supports eines Hyperconverged Hypervisors als Kunde zusammen. Ein Großteil der Arbeit seines Teams ist den Kunden zu erklären, dass Abstürze und andere Fehler daher kommen, dass die Kunden jahrelang nicht patchen oder gar Release Canditates von Servern einsetzen. Driver des Hypervisors verwenden? Für was, gibt doch eh Ethernet 100. Viele Firmen sparen IT-Personal ein, weil Hyperconvereged Hypervisor kaum Adminwissen benötigen. Da wird dann dem Elektriker oder Mechaniker (persönliche Erfahrung in einem angesehen Forschungsinstitut) der IT-Betrieb umgehängt, Hauptsache es kostet nichts.

    Unter VMWare hatte ich hingegen mit massiven Wissenslücke bei angeblichen VMWare Spezialisten zu tun. Zwei Tage zum Aufsetzen eines Hosts? Warum? ISO rein und fertig….
    Klar, Compatiblity Guide, kompatible Firmware, Driver, Einstellungen über vSphere usw. sind ja völlig unnötig. Aber dann als Direktive ausgeben, dass unter Tags kein ESXi-Host neu gestartet werden darf, weil da fallen immer VMs aus und keiner weiß warum – VMWare ist halt dran schuld.

    Was ich schon an Umgebungen repariert oder neu installiert habe (Windows Domänen, VMWare Cluster, Solarwinds, Backup, Exchange usw), weil die Admins keine Ahnung hatten und NULL Maintenance durchgeführt haben, das geht echt auf keine Kuhhaut mehr. Warum nicht alle GPO Settings einer Windows Domain in die Default Domain Policy setzen? Laut "Spezialisten" machen nämlich mehrere GPOs das Logon so langsam ;)

    Fehler werden bei Programmen immer passieren. Geht nicht anders. Aber seine IT-Umgebung vergammeln zu lassen, ist pure Fahrlässigkeit der Geschäftsführung, da sie der IT nur positiv gegenüberstehen, wenn diese günstig ist und man nie was hört.

    • R.S. sagt:

      ****
      Für was patchen Firmen eigentlich ihre Produkte, wenn die Admins das monatelang oder sogar jahrelang ignorieren?
      ****
      Manchmal sind die Admins aber unschuldig, weil ihnen irgendein in der Hierachie höher stehender Schlipsträger das Patchen schlicht verbietet.
      Manchmal sitzt der sogar ganz oben in der Hierachie.
      So etwas ist dann schon Vorsatz.

      • Joachim sagt:

        Das habe ich ja auch geschrieben: " ist pure Fahrlässigkeit der Geschäftsführung, da sie der IT nur positiv gegenüberstehen, wenn diese günstig ist und man nie was hört."

        Da gebe ich Dir also vollkommen recht.

  4. Martin B sagt:

    einfach cloudbasierte Managementsoftware/Monitorig weglassen -> größter Sicherheitsgewinn.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.