Microsoft: Niemandem vertrauen

Microsoft rät Unternehmen zu einer „Zero-Trust“-Mentalität, um zukünftige Angriffe mit einer ähnlichen Raffinesse wie die SolarWinds-Attacke zu verhindern. Man dürfe nicht davon ausgehen, dass alles innerhalb eines IT-Netzwerks sicher sei. Unternehmen sollten dagegen eher glauben, dass die Sicherheit von Anwenderkonten, Endgeräten, dem Netzwerk und anderen Ressourcen verletzt wird und diese explizit überprüfen.

Wie Microsofts Director of Identity Security, Alex Weinert, in einem Blogpost anmerkt, waren die drei Hauptangriffsvektoren kompromittierte Anwender-Konten, kompromittierte Anbieter-Konten und kompromittierte Anbieter-Software.

Tausende von Unternehmen waren von dem Mitte Dezember bekannt gewordenen SolarWinds-Angriff betroffen. Die Hacker, bekannt als UNC2452/Dark Halo, hatten es auf die Build-Umgebung für SolarWinds‘ Orion-Software abgesehen und manipulierten den Prozess, bei dem ein Programm aus dem Quellcode zu einer ausführbaren Binärdatei kompiliert wird, die von Kunden eingesetzt wird.

Der US-Sicherheitsanbieter Malwarebytes hat auch zugegeben, dass er von denselben Hackern angegriffen wurde, allerdings nicht über die manipulierten Orion-Updates. Die Hacker drangen stattdessen in Malwarebytes ein, indem sie Anwendungen mit privilegiertem Zugriff auf die Office 365- und Azure-Infrastruktur ausnutzten, was den Angreifern „Zugang zu einer begrenzten Teilmenge“ der internen E-Mails von Malwarebytes verschaffte.

Laut Weinert nutzten die Angreifer Lücken in der „expliziten Verifizierung“ in jedem der Hauptangriffsvektoren aus. „Wo Benutzerkonten kompromittiert wurden, wurden bekannte Techniken wie Passwort-Spray, Phishing oder Malware verwendet, um die Anmeldedaten der Anwender zu kompromittieren und dem Angreifer kritischen Zugang zum Kundennetzwerk zu verschaffen“, schreibt Weinert.

Er argumentiert, dass Cloud-basierte Identitätssysteme wie Azure Active Directory (Azure AD) sicherer sind als On-Premises-Identitätssysteme, da letztere nicht über Cloud-basierte Schutzmechanismen wie den Passwortschutz von Azure AD zum Ausfiltern von schwachen Passwörtern, jüngste Fortschritte bei der Erkennung von Passwort-Sprays und verbesserte KI zur Verhinderung von Account-Kompromittierungen verfügen.

In den Fällen, in denen der Angreifer erfolgreich war, stellte Weinert fest, dass hochprivilegierten Anbieterkonten zusätzliche Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), IP-Bereichseinschränkungen, Geräte-Compliance oder Zugriffsüberprüfungen fehlten. Microsoft hat festgestellt, dass 99,9 % der kompromittierten Konten, die es jeden Monat verfolgt, keine MFA verwenden.

MFA ist eine wichtige Kontrolle, da kompromittierte Konten mit hohen Privilegien verwendet werden könnten, um Security Assertion Markup Language (SAML)-Token für den Zugriff auf Cloud-Ressourcen zu fälschen. Wie die US Nehörde NSA in ihrer Warnung nach Bekanntwerden des SolarWinds-Hacks feststellte: „Wenn die böswilligen Cyber-Akteure nicht in der Lage sind, einen nicht-premises Signierschlüssel zu erhalten, würden sie versuchen, genügend administrative Privilegien innerhalb des Cloud-Tenants zu erlangen, um eine böswillige Zertifikats-Vertrauensbeziehung zum Fälschen von SAML-Tokens hinzuzufügen.“

Auch diese Angriffstechnik könnte vereitelt werden, wenn es strengere Berechtigungen für Anwenderkonten und Geräte gäbe. „Selbst im schlimmsten Fall der SAML-Token-Fälschung ermöglichten übermäßige Anwenderberechtigungen und fehlende Geräte- und Netzwerkrichtlinieneinschränkungen die Angriffe“, stellt Weinert fest.

„Das erste Prinzip von Zero Trust ist die explizite Verifizierung – stellen Sie sicher, dass Sie diese Verifizierung auf alle Zugriffsanfragen ausdehnen, auch auf die von Anbietern und insbesondere auf die aus On-Premises-Umgebungen.“

Der Microsoft-Veteran erinnert schließlich daran, warum der am wenigsten privilegierte Zugriff entscheidend ist, um die Möglichkeiten eines Angreifers zu minimieren, sich seitlich zu bewegen, sobald er einmal in einem Netzwerk ist. Dies soll helfen, Angriffe abzumildern, indem der Zugriff auf eine Umgebung von einem Anwender, einem Gerät oder einem Netzwerk, das kompromittiert wurde, eingeschränkt wird.

Bei Solorigate – der Name, den Microsoft für die SolarWinds-Malware verwendet – „nutzten die Angreifer weitreichende Rollenzuweisungen, Berechtigungen, die über die Rollenanforderungen hinausgingen, und in einigen Fällen wurden Konten und Anwendungen aufgegeben, die eigentlich gar keine Berechtigungen haben sollten“, so Weinert.

Weinert räumt ein, dass es sich bei dem SolarWinds-Hack um einen „wirklich bedeutenden und fortgeschrittenen Angriff“ handelte, aber die verwendeten Techniken können mit diesen Best Practices in ihrem Risiko deutlich reduziert oder abgeschwächt werden.