Microsoft: Solarwinds-Hacker sahen Code für Azure, Exchange und Intune

Von März bis Dezember 2020 haben Hacker in zwei Phasen Malware bei Microsoft eingeschleust. Das Opfer glaubt sich nun gesäubert.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
Symbolbild zeigt schwebende Nuller und Einser vor Serverracks

(Bild: Timofeev Vladimir/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Torge Löding

Microsoft hat seine interne Untersuchung von "Solorigate2" abgeschlossen. So nennt das Unternehmen den Vorfall mit Malware, die über die Netzwerkmanagement-Plattform SolarWinds Orion eingeschleust wurde. Zum Abschluss wartet Microsoft mit guten Ratschlägen auf und versichert, das eigene Netzwerk weise keine weiteren Schwachstellen auf.

"Wir haben nun unsere interne Untersuchung der Aktivitäten des Akteurs abgeschlossen und möchten unsere Ergebnisse mitteilen, die bestätigen, dass wir keine Beweise für den Zugriff auf Produktionsdienste oder Kundendaten gefunden haben", schrieb Microsoft am Donnerstag. Der Konzern rät Unternehmen, Sicherheit zu stärken, indem sie eine Zero-Trust-Mentalität annehmen und Anmeldeinformationen schützen.

Raffinierten Angreifern war es möglich, "kleine Teile" des Quellcodes der Microsoft-Produkte Azure, Exchange und Intune einzusehen. Bei Azure ging es demnach unter anderem um Code, der für Sicherheits- und Identitätsfunktionen wichtig ist. Die hausinternen Ermittler seien sich aber sicher, dass weder die Dienste Microsofts noch seine Software für Angriffe auf andere verwendet wurden.

Im Dezember waren Microsoft ungewöhnliche Aktivitäten aufgefallen. Deren Analyse zeigte, dass der erste Zugriff auf eine Datei in einem Quell-Repository Ende November stattfand und endete, als die betroffenen Konten gesichert wurden. "Wir haben weiterhin erfolglose Zugriffsversuche durch den Akteur bis Anfang Januar 2021 gegeben, die dann geendet haben", heißt es in Microsofts Mitteilung. Und: "Bei fast allen Code-Repositories, auf die zugegriffen wurde, wurden nur wenige einzelne Dateien als Ergebnis einer Repository-Suche angezeigt."

Eine "Zero Trust"-Philosophie sei wichtiger Bestandteil einer Sicherheitsstrategie. Dazu stellt Microsoft nun eine Anleitung zur Verfügung. Der Name Solorigate 2 nimmt bezug auf einen Vorgang im Frühjahr und Sommer 2020. Im Zeitraum des ersten Solorigate von März bis Juni hatte eine kriminelle Hackergruppe die Malware "Sunburst" auf Systeme von bis zu 18.000 Nutzern der Netzwerkmanagement-Plattform SolarWinds Orion eingeschleust.

Über eine Backdoor kommunizierte Sunburst mit den Angreifern. Diese sollen unter anderem auch US-Regierungsbehörden im Visier haben und das FireEye-Arsenal geplündert haben.

(tol)