Microsoft blockiert jetzt die Sunburst-Hintertür, die beim SolarWinds-Cyberangriff verwendet wurde, bei dem weltweit zahlreiche Opfer gefordert wurden.
Die Sunburst-Hintertür ist ein wesentliches Merkmal des laufenden Supply-Chain-Angriffs, und die Veröffentlichung einer globalen Malware-Signatur dürfte die Bedrohung erheblich verringern.
Was ist der SolarWinds-Cyberangriff?
Im Dezember 2020 gaben zahlreiche US-Regierungsbehörden bekannt, Opfer einer umfangreichen Hacking-Operation zu sein. Die Hintertür für den Angriff wurde mithilfe eines böswilligen Updates über die IT-Verwaltungs- und Fernüberwachungssoftware SolarWinds Orion eingefügt.
Zum Zeitpunkt des Schreibens hat der SolarWinds-Hack das US-Finanzministerium zusammen mit den Abteilungen beansprucht von Heimatschutz, Staat, Verteidigung und Handel als Opfer mit dem Potenzial für mehr Offenbarungen.
Verbunden: Diese Sicherheitsexperten machen Ihr Leben sicherer
Viele "Sicherheitsexperten" haben nicht das Fachwissen, das sie beanspruchen. Hier sind einige Sicherheitsexperten, die dies tun und was sie tun, um die Sicherheit zu verbessern.
Das wahre Ausmaß des SolarWinds-Angriffs ist noch nicht bekannt. Mit dem sprechen BBCDer Cybersicherheitsforscher Prof. Alan Woodward sagte: "Nach dem Kalten Krieg ist dies eine der potenziell größten Durchdringungen westlicher Regierungen, die mir bekannt sind."
Was ist die Sunburst-Hintertür?
Solch ein gewaltiger Angriff dauerte Monate, wenn nicht Jahre der Planung. Der Angriff wurde mit der Bereitstellung eines unentdeckten böswilligen Updates für die SolarWinds Orion-Software in Gang gesetzt.
Unbekannt für SolarWinds und ihre Benutzer, von denen viele Regierungsabteilungen sind, hatte ein Bedrohungsakteur ein Update infiziert.
Das Update wurde auf mindestens 18.000 und möglicherweise bis zu 300.000 Kunden eingeführt. Bei Aktivierung löste das Update eine trojanisierte Version der Orion-Software aus, die dem Angreifer den Zugriff auf den Computer und das weitere Netzwerk ermöglichte.
Dieser Prozess wird als Supply-Chain-Angriff bezeichnet. Der Hack wurde von FireEye entdeckt, die selbst im Dezember 2020 Opfer eines hochkarätigen Datenschutzverstoßes wurden.
Verbunden: Führendes Cybersecurity-Unternehmen FireEye von nationalstaatlichem Angriff getroffen
Das FireEye-Bericht Zusammenfassung lautet:
Die Akteure hinter dieser Kampagne erhielten Zugang zu zahlreichen öffentlichen und privaten Organisationen auf der ganzen Welt. Sie erhielten Zugang zu Opfern durch trojanisierte Updates der Orion IT-Überwachungs- und Verwaltungssoftware von SolarWind. Diese Kampagne hat möglicherweise bereits im Frühjahr 2020 begonnen und läuft derzeit. Die Aktivitäten nach dem Kompromiss nach diesem Kompromiss in der Lieferkette umfassten seitliche Bewegungen und Datendiebstahl.
Sunburst ist also der Name, mit dem FireEye den Cyberangriff verfolgt, und der Name der Malware, die über die SolarWinds-Software verbreitet wird.
Wie blockiert Microsoft die Sunburst-Hintertür?
Microsoft führt Erkennungen für seine Sicherheitstools ein. Sobald die Malware-Signatur für Windows Security (ehemals Windows Defender) bereitgestellt wird, sind Computer unter Windows 10 vor Malware geschützt.
Nach dem Microsoft 365 Defender Threat Intelligence-Team Blog:
Ab Mittwoch, dem 16. Dezember, um 8:00 Uhr PST blockiert Microsoft Defender Antivirus die bekannten schädlichen SolarWinds-Binärdateien. Dadurch wird die Binärdatei auch dann unter Quarantäne gestellt, wenn der Prozess ausgeführt wird.
Microsoft bietet außerdem die folgenden zusätzlichen Sicherheitsschritte an, wenn Sie auf die Sunburst-Malware stoßen:
- Isolieren Sie das infizierte Gerät oder die infizierten Geräte sofort. Wenn Sie die Sunburst-Malware finden, wird Ihr Gerät wahrscheinlich von einem Angreifer kontrolliert.
- Wenn auf dem infizierten Gerät Konten verwendet wurden, sollten Sie diese als gefährdet betrachten. Setzen Sie ein Passwort für das Konto zurück oder deaktivieren Sie das Konto vollständig.
- Wenn möglich, untersuchen Sie, wie das Gerät kompromittiert wurde.
- Suchen Sie nach Möglichkeit nach Indikatoren, die darauf hinweisen, dass die Malware auf andere Geräte übertragen wurde. Dies wird als seitliche Bewegung bezeichnet.
Für die meisten Menschen sind die ersten beiden Sicherheitsschritte am wichtigsten. Weitere Sicherheitsinformationen finden Sie auch auf der SolarWinds Seite? ˅.
Es gibt keine Bestätigung der Identität der Angreifer, aber es wird angenommen, dass die Arbeit die Arbeit eines hoch entwickelten und gut ausgestatteten nationalstaatlichen Hacking-Teams ist.
Die Cyber-Kriminalitätsversicherung ist eine aufstrebende Branche, die viele Organisationen erforschen. Aber ist es eine lohnende Investition?
- Sicherheit
- Tech News
- Windows Defender
- Malware
- Hintertür
Gavin ist der Junior Editor für Windows and Technology Explained, der regelmäßig Beiträge zum Really Useful Podcast verfasst, und war Editor für MakeUseOfs kryptofokussierte Schwestersite Blocks Decoded. Er hat einen BA (Hons) für zeitgenössisches Schreiben mit Praktiken der digitalen Kunst, die aus den Hügeln von Devon geplündert wurden, sowie über ein Jahrzehnt Berufserfahrung im Schreiben. Er genießt reichlich Tee, Brettspiele und Fußball.
Abonniere unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Noch ein Schritt…!
Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.
