{"id":241130,"date":"2021-01-02T01:51:08","date_gmt":"2021-01-02T00:51:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241130"},"modified":"2021-01-02T23:21:56","modified_gmt":"2021-01-02T22:21:56","slug":"solarwinds-hacker-hatten-zugriff-auf-microsoft-quellcode","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/02\/solarwinds-hacker-hatten-zugriff-auf-microsoft-quellcode\/","title":{"rendered":"SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode"},"content":{"rendered":"

[English<\/a>]Microsoft hat eingestanden, dass die Hacker, die die SolarWinds-Backdoor in die Orion-Software eingeschleust hatten, Zugriff auf Quellcodes von Projekten hatten. Code konnte angeblich aber nicht ge\u00e4ndert werden.<\/p>\n

<\/p>\n

\"\"Seit einigen Wochen besch\u00e4ftigt der SolarWinds-Hack ja US-Beh\u00f6rden und IT-Firmen (siehe Linkliste am Artikelende). Mutma\u00dflich staatlichen Angreifern ist es gelungen, eine DLL in der Orion-Software von SolarWinds mit einer SOLARBURST genannten Backdoor zu infizieren. Da die SolarWindows Orion-Produkte von vielen Kunden eingesetzt werden, ist die Zahl der Opfer enorm (potentiell wird von 18.000 Betroffenen gesprochen). Im Artikel Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a> hatte ich einige Opfer genannt – der Wallstreet Journal-Artikel hier<\/a> gibt einen weiteren \u00dcberblick. Inzwischen wurde zudem bekannt, dass bei einigen Opfern eine weitere Backdoor gefunden wurde (siehe SolarWinds-Systeme mit 2. Backdoor gefunden<\/a> und diesen Artikel<\/a>). Es deutet darauf hin, dass eine weitere Hackergruppe auf diesem Feld aktiv ist. Die Kollegen von Bleeping Computer weisen hier<\/a> darauf hin, dass SolarWinds den Sicherheitshinweis in Bezug auf die neue SUPERNOVA-Malware aktualisiert haben.<\/p>\n

Neue CISA-Anweisung<\/h2>\n

Zum 30. Dezember 2020 hat die amerikanische CISA eine Anweisung<\/a> an Beh\u00f6rden herausgegeben. Diese regelt, wie diese beim Einsatz der SolarWinds Orion-Software vorzugehen haben. Sofern die Orion-Software in den Versionen 2019.4 HF5, 2020.2 RC1, 2020.2 RC2, 2020.2 und 2020.2 HF1 im Einsatz war, ist das System kompromittiert. Die Anweisung lautet, die Systeme herunter zu fahren und vom Netz zu isolieren.<\/p>\n

Zugriff auf Microsofts Quellcode<\/h2>\n

Dass Microsoft die SOLARBURST-Backdoor auf seinen Systemen gefunden hat, ist l\u00e4nger bekannt (siehe SolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>). Microsoft hat aber angegeben, dass die Backdoor nicht aktiv ausgenutzt worden sei. Nun gibt es eine neue Entwicklung, denn Microsoft hat in diesem Beitrag<\/a> bekannt gegeben, dass die SolarWinds-Angreifer Zugriff auf diverse Quellcodes haben.<\/p>\n

Die Microsoft-Untersuchung habe zwar keine Hinweise auf einen Zugriff auf Produktionsdienste oder Kundendaten ergeben, schreibt das Unternehmen. Auch seien keine Microsoft-Systeme f\u00fcr Angriffe auf andere genutzt worden. Die Untersuchung dauert aber noch an. Inzwischen wurde aber bekannt, dass die Hacker versucht haben, an den Microsoft Quellcode heranzukommen.<\/p>\n

Microsoft hat bei der Untersuchung ungew\u00f6hnliche Aktivit\u00e4ten bei einer kleinen Anzahl interner Konten festgestellt. Bei der weiteren Analyse kam heraus, dass ein Konto verwendet wurde, um Quellcode in einer Reihe von Quellcode-Repositories einzusehen. Gl\u00fcck im Ungl\u00fcck: Dieses Konto hatte keine Berechtigung, Code oder technische Systeme zu \u00e4ndern. Die bisherigen Untersuchungen ergaben, dass durch die Angreifer keine \u00c4nderungen am Quellcode vorgenommen werden konnten.<\/p>\n

Bew\u00e4hrt hat sich dort, dass Microsoft einen sogenannten Inner-Source-Ansatz verfolgt. Mitarbeiter aus der Software-Entwicklung k\u00f6nnen die Quellcodes des Unternehmens zwar einsetzen. Aber die Struktur ist so angelegt, dass Modifikationen nur von bestimmten Konten vorgenommen werden d\u00fcrfen. Diese\u00a0 \"Defense-in-Depth\"-Schutzma\u00dfnahmen und Kontrollen innerhalb von Microsoft haben wohl, so die Aussage, den Versuch einer Modifikation des Quellcodes gestoppt.<\/p>\n

Der Vorfall zeigt aber, dass sich auch Firmen wie Microsoft nie sicher sein k\u00f6nnen, nicht gehackt zu werden. Reuters hat diesen Artikel<\/a> publiziert, in der sich auch externe Experten zu diesem Fall \u00e4u\u00dfern. Je nach der Art des Quellcodes, der eingesehen werden k\u00f6nnte, so die Bef\u00fcrchtung, k\u00f6nnte dies f\u00fcr weitere Hackerangriffe genutzt werden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
\nSUNBURST-Hack: Microsofts Analysen und Neues<\/a>
\nSolarWinds-Systeme mit 2. Backdoor gefunden<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat eingestanden, dass die Hacker, die die SolarWinds-Backdoor in die Orion-Software eingeschleust hatten, Zugriff auf Quellcodes von Projekten hatten. Code konnte angeblich aber nicht ge\u00e4ndert werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-241130","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=241130"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241130\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=241130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=241130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=241130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}