Microsoft gab an Silvester bekannt, anhand weiterer Untersuchungen festgestellt zu haben, dass die Drahtzieher hinter den SolarWinds-Vorfällen deutlich tiefer ins Firmennetz vorgedrungen seien, als bisher angenommen - der Schaden solle sich jedoch in Grenzen halten.

Bisher hatte Microsoft lediglich bekannt gegeben, kompromittierte Programme von SolarWinds in der eigenen Netzwerkumgebung entdeckt zu haben - diese seien bereits "isoliert und entfernt" worden. Eine genauere Prüfung deckte nun auf, dass die Angreifer ein Mitarbeiterkonto nutzten, um "Quellcode in einer Reihe" einschlägiger Verzeichnisse einzusehen. Das Konto sei laut dem IT-Sicherheitsteam aus Redmond nicht mit den Berechtigungen versehen gewesen, "Code oder technische Systeme zu ändern". Microsoft verfolge einen 'Inner Source'-Ansatz, wobei der Quellcode für Berechtigte innerhalb des Unternehmens also einsehbar ist.

Laut dem Team gehen die Bedrohungsmodelle aus diesem Grund davon aus, dass Angreifer Kenntnis von Quelltexten erlangen könnten. Eine Einsicht in diese Programmbausteine sei jedoch nicht mit einem höheren Risiko verbunden. Zudem gab es bisher keine Hinweise darauf, dass Systeme und Programme von Microsoft für Angriffe auf Dritte missbraucht worden seien.

Mindestens seit dem Frühjahr war die bei den Angriffen eingesetzte Malware Sunburst über verseuchte Updates für die Netzwerkmanagement-Plattform Orion von SolarWinds auf Kundensysteme geschleust worden - dazu gehörten neben Microsoft auch einige US-Ministerien und Behörden. Die Schadsoftware soll auf den Systemen eine Hintertür installiert und so eine Übernahme aus der Ferne in die Wege geleitet haben. Vermutet wird, dass hinter den Attacken dieselbe noch nicht identifizierte Gruppe steckt, welche zuvor auch die IT-Sicherheitsfirma FireEye attackiert hatte.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE