16.03.2021 | Thomas Bühler

Kurzfassung des SolarWinds-Angriff

IAM

Advanced-Persistent-Threat-Cyberattacken (APT), Identity Access Management (IAM) und Authentication Management sin Themen im Bereich der Informationssicherheit, mit denen sich die meisten Sicherheitsleute wohl bereits einmal befass haben. Doch wieso führen gerade Mängel im IAM und im Authentication Management immer wieder dazu, dass APT-Angriff möglich werden? Und warum werden diese nicht erkannt, obwohl die bestehenden Identitäten aktiv überwacht werden? Wi zeigen Ihnen anhand des SolarWinds-Angriffs auf, wie solche Attacken erfolgreich bekämpft werden können.

Kurzfassung des SolarWinds-Angriff

Am 13. Dezember 2020 berichtete die amerikanische Sicherheitsfirma FireEye über einen grossangelegten, weltweite Cyberangriff. Das entsprechende ICS-CERT Advisory erschien am 17. Dezember. Danach wurden viele Artikel hierzu in de Medien publiziert.

Zusammengefasst lässt sich der SolarWinds-Angriff in die Klasse der APT-Attacken einordnen, bei denen ein Command-and-Control-Infrastruktur zur gezielten Infiltrierung von Unternehmen benutzt wird. Es wurde von mehrere betroffenen Firmen wie Microsoft und FireEye berichtet, dass der SolarWinds-Angriff nicht nur auf die lokal IT-Infrastruktur abzielte, sondern auch eine Datenexfiltration aus der Cloud veranlasste. Konkret war die Microsoft 36 Cloud betroffen. Der Datenabfluss wurde mittels unterschiedlicher Angriffsvektoren auf die Authentisierungsmechanisme erreicht. Hierfür wurden Zugriffs-Tokens durch gestohlene ADFS-Signaturschlüssel gefälscht, bösartige Identitätsprovide als vertrauenswürdige Domänen bei Azure AD hinzugefügt, privilegierte Rollen missbraucht, unerwünscht Authentifizierungsmittel zur Multifaktor-Authentifizierung hinzugefügt und Anwendungen von Azure AD Clou zweckentfremdet. Das übergeordnete Ziel war es, wichtige Informationen aus den betroffenen Institutionen zu entwenden Alle diese Angriffsvektoren gehören in die Themenbereiche Identity Access Management (IAM) und operative Authentication und Autorisation-Infrastruktur (AAI).

IAM und AAI als Kernkompetenz der Temet

Durch integrale IAM- und AAI-Konzepte, die in ein konsistentes Gesamtkonzept eingebettet sind, hätte sich die Wirkun einiger dieser Angriffe wesentlich vermindern lassen. Als Beispiel dienen der gestohlene ADFS-Signaturschlüssel und di selbst ausgestellten Zugriffs-Token. Eine wesentliche Erkenntnis aus dem Vorfall ist, dass es sich bei ADFS-Servern u ein Tier-0-System handelt, das hochkritisch ist und entsprechend gehärtet werden muss. Weiter hätten klassisch Schutzkonzepte mit WAFs und Konto- bzw. Netzwerkzugriffsbeschränkungen für ADFS-Server den Angriff wesentlic abgeschwächt. Durch einen Group Managed Service Account (gMSA) im IAM-Konzept wäre der Erfolg des Angriffs weite geschmälert worden. Bei gMSA handelt es sich um ein Domänenkonto mit automatischer Kennwortverwaltung, das a Administratoren delegiert wird.

Ein zentrales Thema ist auch hier das Role-Design, ein wahrer Klassiker im Bereich des IAM. Konkret geht es darum z bestimmen, welche Rollen wo benötigt werden. Um Lateral Movement von Schadsoftware zu erschweren, sollten kein unnötigen Rechte aus der On-Premise-Welt in die Cloud synchronisiert werden. Auch hier können ausgeklügelte Konzept einen grösseren Schaden verhindern. Weiter kann dem Hinzufügen bösartiger Identitätsprovider in Azure AD durch ein durchdachte Rechtevergabe begegnet werden. Kommt ausserdem eine zentrale Authentisierungs- un Autorisierungsinfrastruktur zum Einsatz, wird das Eingehen unkontrollierter Föderationsbeziehungen durch einzeln Komponenten zusätzlich unterbunden.

Der Missbrauch privilegierter Rollen ist bei APT-Angriffen zentral, da so die Kontrolle über die Infrastruktur erlang wird. So kann ein Global Administrator in seiner Rolle die vollständige Kontrolle über die Microsoft-365-Umgebung in de Cloud ausüben. Die Rechte können mit einem effektiven Need-to-Know-IAM-Konzept grundsätzlich eingeschränkt werden un das Risiko kann über eine zentrale Authentisierungs- und Autorisierungsinfrastruktur mit risikobasierter Anmeldun (RBA), Anomaliedetektion und Multifaktor-Authentisierung (MFA) entscheidend reduziert werden.

Das Zweckentfremden von Anwendungen in Azure AD Cloud erfreut sich immer grösserer Beliebtheit, da solche Angriff äusserst erfolgversprechend sind. Selten wird ein Angriff hinter einer vertrauten Anwendung vermutet, die täglich i Gebrauch ist. Als Grundvoraussetzung für den sicheren Einsatz solcher Tools gilt es allgemein, Cloud Service Provide auf deren Sicherheit zu überprüfen. Weiter spielt die Ausübung von Rechten über eine Delegation, sogenannt oAuth2PermissionGrants, eine zentrale Rolle. Delegationen können missbräuchlich verwendet werden. So kann beispielsweise über die Exchange-Administrator-Rolle auf Benutzerpostfächer zugegriffen oder es können Maileinstellungen veränder werden. Auch hier kann eine zentrale AAI zusätzliche Sicherheit schaffen.

Automatisierte Prozesse für den Abgleich der tatsächlichen Zugriffsrechte auf IT-Systeme sind ein wesentlicher Aspek des Identitätsmanagements und der Zugriffssteuerung. Dies zeigt sich auch im Kontext des SolarWinds-Angriffs, da mittel IAM-Reconciliation-Funktion Anmeldeinformationen für verdächtige Dienste und Anwendungen erkannt und entfernt werde können. Werden entsprechende Konzepte auf die AAI ausgeweitet, können auch missbräuchliche Authentisierungsmittel i Form von unerlaubten Geräteregistrationen erkannt und beseitigt werden. Ein Beispiel hierfür ist der Abgleich de Mobile-Device-Management-Datenbank mit den registrierten Geräten innerhalb des MFA-Diensts. Tauchen unbekannte verdächtige Gerät auf, müssen diese umgehend untersucht werden. Weiter kann eine wirksame Anomaliedetektion wichtig Hinweise liefern.

Ausblick

Aktuell ist schwer einzuschätzen, was die Zukunft im Bereich der APT-Angriffe bringen wird. Es ist davon auszugehen dass Angriffe weiter perfektioniert werden und es immer wieder zu ähnlichen Vorfällen wie bei SolarWinds kommen wird Weiter kann beobachtet werden, dass häufig regierungsnahe Organisationen wie UNC2452 (im Falle des SolarWinds-Angriffs hinter solchen Angriffen stehen. Sie scheinen über die nötigen Ressourcen zu verfügen, um hochspezialisierte Angriff durchzuführen.

Leider lassen sich nicht alle APT-Angriffe erfolgreich verhindern. Unternehmen sollten trotzdem vorsorglich in ihr Cybersecurity Resilience investieren, um umfangreiche Cyberereignisse und die dazugehörigen Risken minimieren zu können Diese Investition ist ein wesentlicher Baustein zur Sicherstellung der notwendigen Geschäftskontinuität. Denn am Anfan jeder grossen Cyberattacke steht der Identitätsmissbrauch.

Bei der Temet unterstützen wir Sie als Kunden in der Erreichung Ihrer spezifischen Sicherheitsziele. Testen Sie jetz unser umfangreiches Security-Know-how.

Cybersecurity Security Architecure Strong Authentication


Über den Autor
Thomas Bühler
Über den Autor
Thomas Bühler