Und weiter geht die wilde Fahrt …
Am 06.01.2021 hat die CISA einige Aktualisierungen zum aktuellen Stand der Analyse des Solarwinds-Hacks veröffentlicht.
Ich stelle Auszüge davon am Ende dieses Beitrags zusammen.
Es scheint sich abzuzeichnen, dass es weitere Angriffsvektoren gab: “CISA has evidence that there are initial access vectors other than the SolarWinds Orion platform…”
Offensichtlich war das Ziel dieses Angriffes das Ausspähen von Informationen “The adversary’s initial objectives, as understood today, appear to be to collect information from victim environments…”, also nicht primär das “Schädigen” der Zielsysteme.
Daraus könnte man ableiten, dass es den Angreifern um die Sammlung von Informationen für noch folgende, größere Angriffe ging.
Besonderen Fokus hatten Amazon Web Services(AWS), Microsoft Azure und Microsoft 365 Umgebungen aber auch Outlook Web App (OWA).
Die Durchdringung der Systeme und auch die Frage, wer tatsächlich infiltriert wurde, scheint deutlich höher zu sein, als zunächst angenommen.
If the SolarWinds attackers – presumed to be Russian intelligence agents – were able to extract and decrypt API keys from any compromised Orion databases, they could subsequently gain access to the related cloud-based services … Moreover, Orion software that’s deployed in AWS or Azure environments may use root API keys that would give attackers comprehensive administrative privileges for any compromised accounts.
(Quelle: https://www.scmagazine.com/home/security-news/cloud-security/solarwinds-hack-poses-risk-to-cloud-services-api-keys-and-iam-identities/
Frei übersetzt könnte es sein, dass die Angreifer sich “Schlüssel” für die Anmeldung an Cloud Systemen beschaffen konnten über die sie administrative Rechte erlangen könnten.
Auf dieser Basis sind weitere Schäden in der Cloud zumindest denkbar.
Die Einschätzung eines der Autoren des obigen Artikels will ich gerne teilen:
“In the cloud, there is a shared responsibility for security. Just because someone else owns the hardware doesn’t mean you get a pass on securing and monitoring what you have up there,”
“In der Cloud gibt es eine gemeinsame Verantwortung für die Sicherheit. Nur weil jemand anderes die Hardware besitzt, heißt das nicht, dass Sie einen Freischein für die Sicherung und Überwachung Ihrer Inhalte erhalten.”
Die Cloud Infrastrukturen sind nicht automatisch sicherer als “On-Prem” Lösungen.
Weiterhin sehe ich ein großes Problem darin, dass die Angreifer Zugang zum Quellcode von Microsoft Produkten hatten.
Dadurch ergeben sich in der Zukunft eine Menge an neuen Angriffs-Möglichkeiten.
Es wird ganz sicher für Angreifer, die auf diesem hohen Niveau arbeiten, kein Problem sein, Schwachstellen zu finden.
Was sich bei diesem Angriff in großer Deutlichkeit zeigt ist, wie verletzlich die IT-Systeme gegenüber hochprofessionellen Angreifern sind.
Die Vernetzung und die Komplexität der Systeme macht es sehr schwer alle Folgen abschätzen und einordnen zu können, wenngleich es auch schön ist zu sehen, wie unterschiedliche Firmen sich an der Analyse beteiligen und die Ergebnisse kommunizieren.
Meine persönliche Einschätzung dazu ist, dass wir in Zukunft keine konventionellen Angriffe mit Raketen oder Atomwaffen fürchten sollten. Weitaus effizienter sind Angriffe auf IT-Systeme, die im Zeitalter von “mitdenkenden” Kühlschränken und automatisierten Häusern, alle Bereiche unserer Gesellschaft erreichen können.
Hier nun einige Zitate der CISA mit Fokus auf die Aktualisierungen zum 06.01.2021. Im vollständigen Bericht finden sich besonders auch Informationen zum weiteren Vorgehen aber auch zu möglichen Hinweisen auf die Angriffe, die man im eigenen System suchen kann.
Note (updated January 6, 2021): CISA has evidence that there are initial access vectors other than the SolarWinds Orion platform and has identified legitimate account abuse as one of these vectors (for details refer to Initial Access Vectors section). Specifically, we are investigating incidents in which activity indicating abuse of Security Assertion Markup Language (SAML) tokens consistent with this adversary’s behavior is present, yet where impacted SolarWinds instances have not been identified. CISA is continuing to work to confirm initial access vectors and identify any changes to the tactics, techniques, and procedures (TTPs). CISA will update this Alert as new information becomes available.
(Updated January 6, 2021): CISA is investigating incidents that exhibit adversary TTPs consistent with this activity, including some where victims either do not leverage SolarWinds Orion or where SolarWinds Orion was present but where there was no SolarWinds exploitation activity observed. CISA incident response investigations have identified that initial access in some cases was obtained by password guessing [T1101.001], password spraying [T1101.003], and inappropriately secured administrative credentials [T1078] accessible via external remote access services [T1133]. Initial access root cause analysis is still ongoing in a number of response activities and CISA will update this section as additional initial vectors are identified.
Volexity has also reported publicly that they observed the APT using a secret key that the APT previously stole in order to generate a cookie to bypass the Duo multi-factor authentication (MFA) protecting access to Outlook Web App (OWA).[1] Volexity attributes this intrusion to the same activity as the SolarWinds Orion supply chain compromise, and the TTPs are consistent between the two. This observation indicates that there are other initial access vectors beyond SolarWinds Orion, and there may still be others that are not yet known.
(Updated January 6, 2021): The adversary has been observed using multiple persistence mechanisms across a variety of intrusions. CISA has observed the threat actor adding authentication credentials, in the form of assigning tokens and certificates, to existing Azure/Microsoft 365 (M365) application service principals. These additional credentials provide persistence and escalation mechanisms and a programmatic method of interacting with the Microsoft Cloud tenants (often with Microsoft Graph Application Programming Interface [API]) to access hosted resources without significant evidence or telemetry being generated.
(Updated January 6, 2021): Microsoft reported that the actor has added new federation trusts to existing on permises infrastructure, a technique that CISA believes was utilized by a threat actor in an incident to which CISA has responded. Where this technique is used, it is possible that authentication can occur outside of an organization’s known infrastructure and may not be visible to the legitimate system owner. Microsoft has released a query to help identify this activity, as well as a Sentinel detection for identifying changes to the identity federation from a user or application.
(Updated January 6, 2021): The adversary’s initial objectives, as understood today, appear to be to collect information from victim environments. One method the adversary is accomplishing this objective is by compromising the SAML signing certificate using their escalated Active Directory privileges. Once this is accomplished, the adversary creates unauthorized but valid tokens and presents them to services that trust SAML tokens from the environment. These tokens can then be used to access resources in hosted environments, such as email, for data exfiltration via authorized APIs. During the persistence phase, the additional credentials being attached to service principals obfuscates the activity of user objects, because they appear to be accessed by the individual, and such individual access is normal and not logged in all M365 licensing levels.