Microsoft
gab an Silvester bekannt, anhand weiterer Untersuchungen festgestellt
zu haben, dass die Drahtzieher hinter den SolarWinds-Vorfällen
deutlich tiefer ins Firmennetz vorgedrungen seien, als bisher angenommen
- der Schaden solle sich jedoch in Grenzen halten.
Bisher hatte Microsoft lediglich bekannt gegeben, kompromittierte
Programme von SolarWinds in der eigenen Netzwerkumgebung entdeckt
zu haben - diese seien bereits "isoliert und entfernt"
worden. Eine genauere Prüfung deckte nun auf, dass die Angreifer
ein Mitarbeiterkonto nutzten, um "Quellcode in einer Reihe"
einschlägiger Verzeichnisse einzusehen. Das Konto sei laut
dem IT-Sicherheitsteam aus Redmond nicht mit den Berechtigungen
versehen gewesen, "Code oder technische Systeme zu ändern".
Microsoft verfolge einen 'Inner Source'-Ansatz, wobei der Quellcode
für Berechtigte innerhalb des Unternehmens also einsehbar ist.
Laut dem Team gehen die Bedrohungsmodelle aus diesem Grund davon
aus, dass Angreifer Kenntnis von Quelltexten erlangen könnten.
Eine Einsicht in diese Programmbausteine sei jedoch nicht mit einem
höheren Risiko verbunden. Zudem gab es bisher keine Hinweise
darauf, dass Systeme und Programme von Microsoft für Angriffe
auf Dritte missbraucht worden seien.
Mindestens seit dem Frühjahr war die bei den Angriffen eingesetzte
Malware Sunburst über verseuchte Updates für die Netzwerkmanagement-Plattform
Orion von SolarWinds auf Kundensysteme geschleust worden - dazu
gehörten neben Microsoft auch einige US-Ministerien und Behörden.
Die Schadsoftware soll auf den Systemen eine Hintertür installiert
und so eine Übernahme aus der Ferne in die Wege geleitet haben.
Vermutet wird, dass hinter den Attacken dieselbe noch nicht identifizierte
Gruppe steckt, welche zuvor auch die IT-Sicherheitsfirma FireEye
attackiert hatte.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|