{"id":293010,"date":"2024-03-04T07:23:01","date_gmt":"2024-03-04T06:23:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293010"},"modified":"2024-03-04T07:43:27","modified_gmt":"2024-03-04T06:43:27","slug":"neue-variante-der-solarwinds-angriffstechnik-von-2020-entdeckt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/04\/neue-variante-der-solarwinds-angriffstechnik-von-2020-entdeckt\/","title":{"rendered":"Neue Variante der Solarwinds-Angriffstechnik von 2020 entdeckt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Hack zahlreicher (US-)Beh\u00f6rden und -Firmen \u00fcber Software von Solarwinds im Jahr 2020 d\u00fcrfte noch vielen Lesern im Hinterkopf sein. Nun hat das Sicherheitsforschungsteam von Semperis eine neue Variante von \"golden SAML\" entdeckt, einer Angriffstechnik, die das SAML-Authentifizierungsprotokoll ausnutzt und die 2020 von der Hackergruppe Nobelium gegen Solarwinds eingesetzt wurde. Die Angriffstechnik wird als \"Silver SAML\" bezeichnet.<\/p>\n

<\/p>\n

Im Jahr 2020 verursachte ein Hack zahlreicher (US-)Beh\u00f6rden und -Firmen \u00fcber Software von Solarwinds ziemliche Wellen (siehe US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a> und die Artikellinks am Beitragsende). Sicherheitsforscher hatten den als \"golden SAML\" bezeichneten Angriffsvektor bereits 2017 erstmals \u00f6ffentlich beschrieben (siehe Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt<\/a>).<\/p>\n

Nun hat das Sicherheitsforschungsteam von Semperis eine neue Variante von \"golden SAML\", einer Angriffstechnik, die das SAML-Authentifizierungsprotokoll ausnutzt und die 2020 von der Hackergruppe Nobelium gegen Solarwinds eingesetzt wurde, entdeckt.<\/p>\n

Golden SAML<\/h2>\n

Golden SAML wurde bei dem Cyberangriff auf Solarwinds im Jahr 2020 verwendet, dem bislang raffiniertesten nationalstaatlichen Hack der Geschichte. Die Hackergruppe Nobelium, auch bekannt als Midnight Blizzard oder Cozy Bear, hat b\u00f6sartigen Code in die IT-Management-Software Orion von Solarwinds eingeschleust und damit Tausende von Unternehmen, darunter auch die US-Regierung, infiziert. Nach diesem Angriff empfahl die Cybersecurity Infrastructure Security Agency (CISA) Organisationen mit hybriden Identit\u00e4tsumgebungen, die SAML-Authentifizierung auf ein Cloud-Identit\u00e4tssystem wie Entra ID umzustellen.<\/p>\n

Silver SAML<\/h2>\n

Die neu entdeckte Silver SAML-Schwachstelle kann selbst dann ausgenutzt werden, wenn Unternehmen die Sicherheitsempfehlungen zum Schutz vor Golden SAML befolgt haben. Mit Silver SAML k\u00f6nnen Bedrohungsakteure das Authentifizierungsprotokoll SAML (Security Assertion Markup Language) missbrauchen, um von einem Identit\u00e4tsanbieter wie Entra ID aus Angriffe auf Anwendungen zu starten, die SAML f\u00fcr die Authentifizierung nutzen, wie beispielsweise Salesforce.<\/p>\n

Schutz vor Silver SAML-Angriffen<\/h2>\n

Um sich effektiv gegen Silver SAML-Angriffe in Entra ID zu sch\u00fctzen, sollten Organisationen nur selbstsignierte Entra ID-Zertifikate f\u00fcr die SAML-Signierung verwenden. Organisationen sollten auch die Eigentumsrechte an Anwendungen in Entra ID einschr\u00e4nken. Au\u00dferdem sollten sie auf \u00c4nderungen an SAML-Signierschl\u00fcsseln achten, vor allem, wenn der Schl\u00fcssel nicht demn\u00e4chst abl\u00e4uft.<\/p>\n

\"Nach dem Cyberangriff auf Solarwinds erkl\u00e4rten Microsoft und andere, darunter auch die CISA, dass die Umstellung auf Entra ID (damals Azure AD) vor der F\u00e4lschung von SAML-Antworten, auch bekannt als Golden SAML, sch\u00fctzen w\u00fcrde. Leider ist der vollst\u00e4ndige Schutz vor dieser Art von Angriffen differenzierter – wenn Unternehmen bestimmte Praktiken der Zertifikatsverwaltung von Active Directory Federation Services auf Entra ID \u00fcbertragen, sind die Anwendungen in ihrem Bestand immer noch anf\u00e4llig f\u00fcr SAML-Antwortf\u00e4lschungen, die wir als Silver SAML bezeichnen\", so Eric Woodruff, Forscher bei Semperis.<\/p>\n

Die Semperis-Forscher stufen die Silver SAML-Schwachstelle als ein m\u00e4\u00dfiges Risiko<\/em> f\u00fcr Unternehmen ein. Sollte Silver SAML jedoch dazu verwendet werden, sich unbefugten Zugang zu gesch\u00e4ftskritischen Anwendungen und Systemen zu verschaffen, k\u00f6nnte das Risiko je nach dem angegriffenen System auf ein schweres Niveau<\/em> ansteigen. Weitere Informationen zur Silver SAML-Schwachstelle bietet Semperis in einem diesem Blogbeitrag<\/a> (und hier<\/a> auf Deutsch).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a>
\nSUNBURST-Hack: Microsofts Analysen und Neues<\/a>
\nSolarWinds-Systeme mit 2. Backdoor gefunden<\/a>
\nSolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a>
\nSolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a>
\nGibt es deutsche Opfer des SolarWinds-Hacks?<\/a>
\nNeues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a>
\nKaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware<\/a>
\nSolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an<\/a>
\nAuch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt<\/a>
\nVier Sicherheitsanbieter best\u00e4tigen SolarWinds-Vorf\u00e4lle<\/a>
\nNeues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht<\/a>
\nMicrosoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune<\/a>
\nVorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt<\/a>
\nSolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung<\/a>
\nSolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus<\/a>
\nSolarWinds: Update f\u00fcr Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten<\/a>
\nSolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber<\/a>
\nMicrosoft Insides zum SolarWinds Orion SunBurst-Hack<\/a>
\nSolarWinds-Angreifer nehmen Microsoft-Partner ins Visier \u2013 fehlende Cyber-Sicherheit bem\u00e4ngelt<\/a>
\nSolarWinds-Kunden sollten Web Help Desk entfernen<\/a>
\nSolarWinds Hack in 2020: Das US-Justizministerium wusste 6 Monate vorher Bescheid<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Hack zahlreicher (US-)Beh\u00f6rden und -Firmen \u00fcber Software von Solarwinds im Jahr 2020 d\u00fcrfte noch vielen Lesern im Hinterkopf sein. Nun hat das Sicherheitsforschungsteam von Semperis eine neue Variante von \"golden SAML\" entdeckt, einer Angriffstechnik, die das SAML-Authentifizierungsprotokoll ausnutzt und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-293010","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293010","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293010"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293010\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293010"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293010"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293010"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}