SolarWinds-Attacke: Angreifer hatten Zugang zu Microsofts Quellcode
Microsoft zählte zu den Betroffenen der SolarWinds-Attacke, die Tausende Unternehmen und Regierungsbehörden betraf. Wie der Konzern zum Jahreswechsel mitteilte, sind die Angreifer tiefer in die Systeme eingedrungen als bis dato bekannt. Diese hatten sogar Zugang zum Quellcode.
Dass über ein Upgrade des SolarWinds-Produkts Orion die Schadsoftware in Microsofts Firmennetzwerk gelangt ist, bestätigte der Konzern bereits Mitte Dezember. Seitdem sind die internen Ermittlungen weitergelaufen. Der aktuelle Stand ist nun: Die Schadsoftware befand sich nicht nur im Netzwerk, sondern es wurden auch ungewöhnliche Aktivitäten bei einer kleinen Anzahl von internen Konten festgestellt, die Zugang zum Quellcode hatten.
Insbesondere ein manipulierter Quellcode könnte weitreichende Folgen haben. Soweit ging der Angriff laut Microsoft aber nicht. Die kompromittieren Konten hätten keine Berechtigung gehabt, um den Quellcode oder technische Systeme zu ändern. Weitere Untersuchungen bestätigten zudem, dass keine Manipulationen vorgenommen wurden.
Keine Kundendaten betroffen
Microsoft nutzt demnach intern eine Open-Source-ähnliche Kultur. „Das bedeutet, dass wir uns bei der Produktsicherheit nicht auf die Geheimhaltung des Quellcodes verlassen und unsere Bedrohungsmodelle davon ausgehen, dass Angreifer Kenntnisse vom Quellcode haben“, heißt es in der Mitteilung. Somit sei eine Einsicht in den Quellcode nicht mit einem erhöhten Sicherheitsrisiko verbunden.
Die betroffenen Konten wurden derweil untersucht und die Probleme behoben. Der Angriff soll auch nicht die Sicherheit von Diensten und Kundendaten beeinflusst haben.
Massiver Angriff auf IT-Infrastruktur
Bekannt wurde die Solar-Winds-Attacke Mitte Dezember. Angreifer hatten die Schadsoftware in die Netzwerk-Management-Lösung Orion eingeschleust. Insgesamt nutzen 33.000 SolarWinds-Kunden das Produkt, laut dem Unternehmen sollen aber „weniger als 18.000“ das kompromittierte Update eingespielt haben, das zwischen März und Juni 2020 verbreitet wurde. Bei dem Angriff handelt es sich also um eine Supply Chain Attack.
Die Liste der Betroffenen ist lang und prominent. Dazu zählen etwa Teile der US-Administration wie das Pentagon und das Außenministerium sowie Unternehmen wie Microsoft, Cisco und FireEye.
Microsoft erklärt nun erneut, man vermute aufgrund der komplexen Attacke, dass ein staatlicher Akteur hinter dem Angriff steckt. Ein Großteil der US-Regierung machte vor Weihnachten Russland für den Angriff verantwortlich, die russische Regierung bestreitet das.