18.12.2020 09:45

Updates zu SolarWinds Orion

Die Situation um den Supply-Chain Angriff auf SolarWinds' Orion Produkt ist um einige Facetten reichter geworden:

  • Microsoft ist bestätigterweise unter den Opfern.1 Reuters behauptet darüber hinaus, dass Microsofts eigene Produkte ebenfalls für Supply-Chain Angriffe missbraucht wurden, legt dafür allerdings keinerlei belastbare Beweise vor. Microsofts "Head of Communication" hat diese Aussage auf Twitter zurückgewiesen.2
  • CISA hat nun auch ein Advisory veröffentlicht, in dem detailliert beschrieben wird, wie Betroffene bei der Incident Response vorgehen sollen. Außerdem betont CISA, dass Angriffe via SolarWinds Orion nicht der einzige initiale Angriffsvektor ist, den die dahinterstehende Hacking-Gruppe einsetzt.3
  • Die NSA hat ein Advisory zu zwei TTPs ("tactics, techniques, and procedures") publiziert, die genutzt werden, um Zugriff auf Cloud-Services der Opfer (allen voran E-Mail) zu erhalten und wie diese erkannt bzw. verhindert werden können.4

Das ThaiCERT hat eine Linksammlung mit Artikeln zum gesamten Vorfall bis einschließlich 2020-12-16 erstellt: thaicert-solarwarinds-orion-linklist.pdf

  1. https://www.reuters.com/article/us-usa-cyber-breach-idUSKBN28R2ZJ

  2. https://twitter.com/fxshaw/status/1339728948104581120

  3. https://us-cert.cisa.gov/ncas/alerts/aa20-352a

  4. https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/