Gruppe operiert aus China

Microsoft entdeckt Zero-Day-Exploit auf Solarwinds-Software

14. Juli 2021, 13:23 Uhr | Selina Doulah
© Pixabay

Die Sicherheitslücke, die Microsoft entdeckt und an Solarwinds gemeldet hat, ist bereits gepatcht. Die Vermutung, dass eine chinesische Gruppe dahintersteckt, ist naheliegend aber nicht bestätigt.

Microsoft hat einen Zero-Day-Exploit zur Remote-Code-Ausführung entdeckt, der in begrenzten und gezielten Angriffen auf die Solarwinds-Serv-U-FTP-Software verwendet wird. Das Microsoft Threat Intelligence Center (MSTIC) schreibt diese Kampagne mit hoher Wahrscheinlichkeit DEV-0322 zu, einer Gruppe, die von China aus operiert. Diese Annahme basiere auf der beobachteten Viktimologie, Taktik und Vorgehensweise.

Anbieter zum Thema

zu Matchmaker+

Kunden sollten auf neueste Version aktualisieren

Die Sicherheitslücke, die ausgenutzt wird, ist CVE-2021-35211 und wurde kürzlich von Solarwinds gepatcht. Die Schwachstelle besteht in der Serv-Us-Implementierung des Secure-Shell (SSH)-Protokolls. Wenn Serv-U's SSH dem Internet zugänglich ist, können Angreifer bei erfolgreicher Ausnutzung beliebigen Code mit Privilegien aus der Ferne ausführen. Das erlaubt ihnen, Aktionen wie das Installieren und Ausführen bösartiger Payloads oder das Anzeigen und Ändern von Daten durchzuführen.

Microsoft rät allen Kunden dringend, ihre Version von Serv-U auf die neueste verfügbare zu aktualisieren. „Microsoft 365 Defender hat Kunden vor bösartigen Aktivitäten geschützt, die aus einer erfolgreichen Ausnutzung resultieren, noch bevor der Sicherheitspatch verfügbar war. Microsoft Defender Antivirus blockiert bösartige Dateien, Verhaltensweisen und Nutzlasten. Unsere Lösung für den Endpunktschutz erkennt die nachfolgenden böswilligen Aktionen des Angreifers und gibt entsprechende Warnungen aus. Microsoft Threat Experts-Kunden, die betroffen waren, wurden über die Angreiferaktivitäten informiert und bei der Reaktion auf den Angriff unterstützt“, erklärt das Microsoft Threat Intelligence Center in seinem Blog. Außerdem habe MSTIC beobachtet, dass DEV-0322 es auf Einrichtungen im Bereich der US-amerikanischen Verteidigungsindustrie und auf Softwareunternehmen abgesehen hätte. Diese Gruppe hat ihren Sitz in China und wäre dabei beobachtet, wie sie kommerzielle VPN-Lösungen und kompromittierte Consumer-Router in ihrer Angreifer-Infrastruktur verwendet.

Angreifer machte sich zum Administrator

Das Threat Intelligence Center beschreibt, es habe  den Zero-Day-Angriff in der Telemetrie von Microsoft 365 Defender während einer Routineuntersuchung entdeckt. Es wurde ein anomaler schädlicher Prozess gefunden, der von dem Serv-U-Prozess erzeugt werden konnte, was darauf hindeutet, dass dieser kompromittiert wurde.  Der Angreifer konnte sich laut dem Blog-Beitrag zum Administrator machen, indem er eine manipulierte Archiv-Datei erstellte.

Nachdem das Threat Intelligence von Microsoft die Schwachstelle ausmachen konnte, hat es den Vorfall an Solarwind gemeldet. Das Unternehmen reagierte unverzüglich und erstellte einen Patch.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Microsoft GmbH

Weitere Artikel zu Solarwinds

Weitere Artikel zu Betriebs-Sicherheit

Matchmaker+