Wenn Sie sich fragen, warum ich dem Thema “Solarwinds-Hack” so viel Bedeutung gebe – ein Satz direkt aus einem Bericht der Firma kann das zeigen:
Along with our partners in industry and government, we believe other additional attack vectors unrelated to SolarWinds will continue to come to light over the coming weeks.
(03.02.2021 Findings From Our Ongoing Investigations)
Ich denke, wir stehen am Anfang einer Kette von Angriffen, die sich auch besonders gegen Cloud Dienste richten werden. Für mich ergibt sich das aus dem aktuellen (Abschluss-)Bericht von Microsoft zum Angriff:
For a small number of repositories, there was additional access, including in some cases, downloading component source code. These repositories contained code for: a small subset of Azure components (subsets of service, security, identity), a small subset of Intune components, a small subset of Exchange components.
(18.02.2021 Microsoft Internal Solorigate Investigation – Final Update)
Bei “Reuters” findet man dazu einen kleinen Kommentar, der die werbewirksamen Aussagen in ein anderes Licht rückt:
At the most prized of the thousands of SolarWinds customers that were exposed last year, the hackers added new Azure identities, added greater rights to existing identities, or otherwise manipulated the Microsoft programs, largely to steal email. Some hacking also used such methods at targets which did not use SolarWinds. Microsoft previously acknowledged that some of its resellers, who often have continual access to customer systems, had been used in the hacks. It continues to deny that flaws in anything it provides directly have been used as an initial attack vector. Microsoft declined to answer Reuters’ questions about which parts of its code had been downloaded or whether what the hackers discovered would have helped them hone techniques. The company also declined to say whether it was changing any of its code as a result of the breach. The Department of Homeland Security did not respond to questions.
(18.02.2021 SolarWinds hackers studied Microsoft source code for authentication and email)
Könnte es sein, dass der Angriff auf Microsoft das Ziel hatte, die Basis für weitere Angriffe gegen die ausgespähten Dienste zu legen?
Immerhin hatten die Angreifer einige Zeit sich vorzubereiten und ganz sicher vorab geplant, welche Informationen besonders wichtig sind.
Wenn ich immer wieder auf Microsoft “rumhacke”, dann liegt das übrigens schlicht daran, dass in diesem Bereich das Unternehmen der “global Player” ist.
Besonders die vielen, verknüpften Dienste machen Angriffe gegen Authentifizierungen besonders wirksam.
Der Windows PC ist mit einem Windows Konto verknüpft, in der Azure Cloud mit dem AD verbunden an dem auch die anderen Systeme und Server hängen und dann weiter in Teams, SharePoint, OneDrive, Exchange, die Power Platform und Dynamics.
Alles Wissen zugänglich über einen einzigen Dienst. Kaum ein anderes Unternehmen bietet so viele verknüpfte Anwendungen.
Hier liegt die große Gefahr und deshalb habe ich auch tatsächlich ein “Problem” mit Microsoft.
Die Produkte sind gut, aber das Bestreben, immer mehr miteinander zu verbinden, sorgt zwar für mehr Zufriedenheit beim Kunden, aber auch zu einem unnötig hohen Risiko.
Es mag billiger sein, wenn man alles an nur einen Anbieter delegiert. Aber in der IT–Sicherheit ist “Geiz nicht geil”.