Wir alle haben es in den letzten Wochen an der einen oder anderen Stelle gelesen: Viele Tausend Kunden der Firma SolarWinds haben ein mit Malware verseuchtes Update installiert. Die Auswirkungen waren (und sind) so gravierend, dass es nicht nur auf den einschlägigen IT-Webseiten zu lesen war, sondern auch auf Mainstream-Webseiten wie SPIEGEL Online.
Was ist passiert?
Eine weitverbreitete Verwaltungssoftware der Firma SolarWinds verteilte, wie oben bereits erwähnt, Updates, die mit einer Malware infiziert waren. Dabei handelte es sich um eine Backdoor-Funktionalität, die eine externe Kontrolle des Systems zuließ.
Für Angreifer dabei interessant: Ein solches Verwaltungssystem hat häufig sehr weitreichende Zugriffsrechte im Netzwerk, um alle zu verwaltenden Systeme ansteuern zu können. Damit kann man sich innerhalb des Netzwerks natürlich wunderbar umsehen und ausbreiten.
Das Interessante an dem „verseuchten“ Update: Es war korrekt signiert und somit völlig unscheinbar. Zudem kam es von den offiziellen Update-Servern des Herstellers. Das bedeutet, dass die „üblichen“ Empfehlungen nicht gegriffen hätten, denn dieses Update
- kam nicht aus einem seltsamen IP-Bereich,
- hatte die richtige Checksumme,
- war korrekt signiert und
- wäre auch von automatischen Update-Mechanismen der Lösung installiert worden.
Doch wie kam es dazu?
Der ursprüngliche Angriff auf SolarWinds
Der eigentliche Angriff erfolgte auf den Hersteller. Bei diesem wurde die Supply Chain angegriffen und eine Kernkomponente noch vor der Signierung ausgetauscht. Untersuchungen haben ergeben, dass die zugrundeliegende Infrastruktur nur unzureichend abgesichert war. Es wurden einfache Passwörter verwendet. Der eigentliche Angriff erfolgte, wie so häufig, per Social Engineering. Es ist daher unwahrscheinlich, dass zusätzliche Mechanismen wie Mehrfaktorauthentisierung (MFA) im Einsatz waren.
Also war auch hier wieder der Mensch das schwächste Glied der Sicherheitskette. Es wurden keine starken Passwörter verwendet, und die Mitarbeiter sind auf klassisches Social Engineering reingefallen. Hier zeigt sich wieder einmal, wie wichtig ausgereifte, effektive Prozesse im Bereich der IT-Sicherheit sind. Diese werden wahrscheinlich auch bei SolarWinds vorhanden sein, doch muss auch kontrolliert werden, dass diese Prozesse befolgt werden!