Weitere Schadsoftware im Kontext „Solarwinds“

Der Autor Brian Krebs (https://krebsonsecurity.com) berichtete am 16.04.2021 über einen neuen „Fund“ im Zusammenhang mit dem Solarwinds-Hack.

Nachdem einige Zeit vergangen ist, redet kaum mehr jemand über diesen Cyberangriff.

Bei NPR gibt es einen lesenswerten Artikel zu dem Thema.

Allerdings scheint es so, als ob schon vor der ersten Veröffentlichung Angriffe,  mit einer bisher unbekannten Schadsoftware, stattgefunden haben.

Both Microsoft and FireEye published blog posts on Mar. 4 concerning a new backdoor found on high-value targets that were compromised by the SolarWinds attackers. FireEye refers to the backdoor as “Sunshuttle,” whereas Microsoft calls it “GoldMax.” FireEye says the Sunshuttle backdoor was named “Lexicon.exe,”

Auch VMWare wird in dem Artikel genannt. Es gab wohl eine Sicherheitslücke in dem Programm „VMWare Workspace One Access„, welches zuvor der „VMware Identity Manager“ war.

Darüber sollen die Angreifer (SVR, der russische Auslandsnachrichtendienst) sich vereinfacht gesagt „Zugriffsrechte“ besorgt haben.

Hier zeigt sich eine Schwachstelle die sich in der Verwaltung der Sicherheitsinformationen findet.

Wann immer wir auf ein Gerät, Daten oder Anwendungen zugreifen, benötigen wir dafür entsprechende Berechtigungen.

Bei einfachen Windows Systemen sind diese im sog. „Active Directory“, der zentralen „Windows Bibliothek“ hinterlegt.

Sobald man sich mit einem gültigen Benutzernamen und dem passenden Kennwort ausgewiesen hat, bekommt man ein „Ticket“, im Sinne einer Fahrkarte, die man immer wieder vorzeigt, wenn man eine Berechtigung benötigt.

Natürlich gibt es um diese Zugangssysteme herum entsprechende Verwaltungsprogramme.

Im Zuge der „Zero Trust“ Philosophie werden immer mehr Funktionen aktiviert, die sehr granulare Zugriffsberechtigungen und ein hohes Schutzniveau ermöglichen.

Nur – was geschieht, wenn ein solches Verwaltungs-System selbst erfolgeich angegriffen würde?

Natürlich unternehmen Firmen wie Microsoft sehr viel, um sich davor zu schützen, doch für mich ist das ein denkbares Szenario.

Die Folgen wären sicher sehr viel dramatischer als bei jedem schon bekannten Sicherheitsvorfall.

Besonders, weil sich aktuell sehr viele Unternehmen nur auf die Lösungen von Microsoft beziehen.

Alle Daten und Anwendungen in die Azure Cloud, das Active Directory „OnPrem“ wird damit verbunden, um hybride Zugänge zu ermöglichen und die komplette Verwaltung spielt sich nur noch dort ab.

Monokulturen gibt es aus gutem Grund in der Natur gar nicht oder nicht sehr lange.

In der IT-Welt werden viel zu oft die damit verbundenen Nachteile nicht gesehen. Obwohl es oft auch Alternativen anderer Hersteller gibt.

Ich werde wohl sicher als großer Skeptiker gesehen, aber die Erfahrung zeigt, dass auch „das Unmögliche“ geschehen kann.

Denken Sie nur an Tschernobyl, Fukushima oder die aktuelle Corona Pandemie.

Hätten Sie zuvor gedacht, dass so etwas geschehen kann?

Deshalb versuchen Sie, die IT Ihres Unternehmens nicht nur auf einem Pfeiler zu positionieren.

Auf einem Bein steht man nicht sicher …