{"id":239927,"date":"2020-12-21T19:19:42","date_gmt":"2020-12-21T18:19:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=239927"},"modified":"2021-05-10T23:22:36","modified_gmt":"2021-05-10T21:22:36","slug":"solarwinds-systeme-mit-2-backdoor-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/21\/solarwinds-systeme-mit-2-backdoor-gefunden\/","title":{"rendered":"SolarWinds-Systeme mit 2. Backdoor gefunden"},"content":{"rendered":"

[English]Sicherheitsforscher und Forensiker haben in Systemen, die mit dem SunBurst-Trojaner \u00fcber die SolarWinds Orion-Software infiziert wurden, zwei weitere Malware-Varianten, Supernova und CosmicGale, gefunden. Sicherheitsforscher vermuten, dass da ein zweite Hackergruppe am Werk ist. <\/p>\n

<\/p>\n

\"\"Es ist der Joke des zu Ende gehenden Jahres 2020: Die SolarWinds Orion-Software ist im breiten Einsatz, um IT-Infrastrukturen zu \u00fcberwachen. Und nun erweisen sich Systemen, auf denen dieses Produkt installiert wurde, aus sicherheitstechnischen Gesichtspunkten als l\u00f6chrig wie ein Schweizer K\u00e4se. Nachdem die Sunburst-Backdoor mehr oder weniger durch Zufall entdeckt wurde (siehe SUNBURST-Hack: Microsofts Analysen und Neues<\/a>), hebt sich der Eisberg und es wird langsam mehr und mehr sichtbar. Auch VMware musste jetzt bekannt geben<\/a>, durch die SolarWinds-Geschichte kompromittiert worden zu sein (siehe diesen Artikel<\/a>). <\/p>\n

Supernova und CosmicGale<\/h2>\n

Inzwischen schauen Computer-Forensiker ja genauer hin, wenn auf Systemen die SolarWinds Orion-Software installiert worden ist. Inzwischen wurde bekannt, das auf einigen der mit SunBurst infizierten Systemen weitere Malware gefunden wurde.<\/p>\n

\"SolarWinds<\/a><\/p>\n<\/p>\n

Catalin Cimpanu weist in obigem Tweet<\/a> auf diese neue Erkenntnis hin und hat auf ZDNet diesen Artikel<\/a> zum Thema publiziert. Auch bei Bleeping Computer gibt es diesen Beitrag<\/a> dazu. Es gibt Analysen von den Sicherheitsfirmen Guidepoint<\/a>, Symantec<\/a> und Palo Alto Network<\/a>, die darauf hinweisen, dass weitere Schadprogramme auf den infizierten Systemen gefunden wurden. Die Berichte beschreiben, Angreifer auch eine .NET-Web-Shell namens Supernova einschleusten. Sicherheitsforscher nahme daher an, dass die Angreifer die Supernova-Web-Shell zum Herunterladen, Kompilieren und Ausf\u00fchren eines b\u00f6sartigen Powershell-Skripts (das von einigen als CosmicGale bezeichnet wurde) verwendeten. <\/p>\n

ZDNet weist im Artikel aber auf eine Analyse von Microsofts Sicherheitsteams hin, aus der hervor geht, dass die SuperNove-Web-Shell nicht Teil des eigentlichen SunBurst-Angriffs ist. Unternehmen, die SuperNova auf ihren Systemen finden, m\u00fcssen von einem separaten Angriff auf ihre IT ausgehen. Ein Beitrag des Microsoft-Sicherheitsanalysten Nick Carr<\/a> weist darauf hin, dass die Supernova-Web-Shell auf SolarWinds Orion-Installationen platziert worden zu sein scheint, die ungesch\u00fctzt gegen die Schwachstelle CVE-2019-8917<\/a> und online erreichbar waren. Die seit 2019 bekannt Schwachstelle in SolarWinds Orion-Produkten wird folgenderma\u00dfen beschrieben: <\/p>\n

\n

SolarWinds Orion NPM before 12.4 suffers from a SYSTEM remote code execution vulnerability in the OrionModuleEngine service. This service establishes a NetTcpBinding endpoint that allows remote, unauthenticated clients to connect and call publicly exposed methods. The InvokeActionMethod method may be abused by an attacker to execute commands as the SYSTEM user.<\/p>\n<\/blockquote>\n

Durch die Schwachstelle war also eine Remote Code Execution (RCE) auf den Zielsystemen mit der Orion-Software m\u00f6glich. In einer Analyse fand Microsoft heraus, dass die Supernova-DLL im Gegensatz zur Sunburst-DLL nicht mit einem legitimen digitalen Zertifikat von SolarWinds signiert wurde. Dies weicht vom raffinierten Vorgehen der SunBurst-Angreifer so gravierend ab, dass man von anderen Urhebern ausgehen sollte. <\/p>\n

Wenn jemand so etwas vor einem halben Jahr in einem Manuskript f\u00fcr einen neuen Krimi beschrieben h\u00e4tte, w\u00e4re das Ganze als zu unrealistisch vom Lektorat abgelehnt worden. Jetzt sind wir diesbez\u00fcglich gerade rechts \u00fcberholt worden. Ich bin ja gespannt, was die Tage noch an Enth\u00fcllungen kommt. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
Schlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
SUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
SolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
SUNBURST-Hack: Microsofts Analysen und Neues<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher und Forensiker haben in Systemen, die mit dem SunBurst-Trojaner \u00fcber die SolarWinds Orion-Software infiziert wurden, zwei weitere Malware-Varianten, Supernova und CosmicGale, gefunden. Sicherheitsforscher vermuten, dass da ein zweite Hackergruppe am Werk ist.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-239927","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=239927"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239927\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=239927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=239927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=239927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}