Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben Ende vergangener Woche in einem gemeinsamen Alert vor aktuellen Cyberangriffen in den USA gewarnt, die sich überwiegend auf Regierungsnetzwerke konzentrierten. Offenbar kombinierten die Angreifer hierbei die kritische "Zerologon"-Sicherheitslücke in Windows Server mit weiteren Lücken zu einer Exploit-Chain – und das teils mit Erfolg.
Weiterlesen nach der Anzeige
Die Behörden raten dringend zum Einspielen der längst verfügbaren Updates und verweisen auf weitere Exploit-Kombinationen, auf die die Angreifer in naher Zukunft ausweichen könnten.
Um initialen Zugriff auf das jeweillige Netzwerk zu erlangen, hätten die Angreifer in mehreren Fällen die FortiOS-Sicherheitslücke CVE-2018-13379 missbraucht. Die hatte Fortinet bereits Ende Mai 2019 aus dem SSL-VPN-Webportal des FortiOS-Betriebsystems entfernt. In einigen, allerdings deutlich weniger Fällen sei stattdessen eine kritische Remote-Code-Execution-Lücke jüngeren Datums in MobileIron Core & Connector (CVE-2020-15505, betrifft Versionen bis inkl. 10.3) zum Einsatz gekommen.
Im zweiten Schritt hätten die Angreifer dann auf Zerologon (CVE-2020-1472) gesetzt, um sich Domänen-Admin-Rechte zu verschaffen. Microsoft hatte die kritische Lücke in Windows Server im August dieses Jahres gepatcht. Bereits seit Mitte September ist Exploit-Code für Zerologon verfügbar, kurze Zeit später warnte Microsoft vor ersten aktiven Angriffen in freier Wildbahn.
In Bezug auf Hintergrund und Zweck der Angriffe liest sich der Alert von FBI und CISA eher vage. In einigen Fällen sei es den Angreifern gelungen, sich Zugang zu Wahlunterstützungssystemen zu verschaffen, allerdings gebe es bislang keine handfesten Anhaltspunkte dafür, dass die Wahlintegrität kompromittiert wurde. Auch sei völlig offen, ob die Verfügbarkeit von Wahldaten überhaupt ein Angriffskriterium dargestellt habe.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Dass der Zugriff überhaupt – und offenbar vielfach – gelang, ist vor allem vor dem Hintergrund bedenklich, dass die CISA bereits am 18. September 2020 eine Notfall-Richtlinie für US-Regierungs-Admins veröffentlicht hatte. Diese gab ihnen bis zum 21. September Zeit, Systeme gegen Zerologon abzusichern. Passiert ist das offensichtlich längst nicht in allen Fällen.
Über 90.000 Leser vertrauen bereits darauf – wählen Sie jetzt Ihr passendes Paket!
Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu unseren Magazin-Inhalten erhalten Sie damit weitere exklusive Tests, Ratgeber und Hintergründe.
