Schwerer Lieferketten-Angriff bei SolarWinds: Microsoft hat Warnung ignoriert
Einem Bericht von ProPublica zufolge hat Microsoft die Warnung eines Mitarbeiters vor einer Sicherheitslücke ignoriert, die später bei den weit verbreiteten SolarWinds Orion-Angriffen ausgenutzt wurde.
Der ehemalige Mitarbeiter Andrew Harris soll Microsoft während seiner Tätigkeit zwischen 2016 und 2020 mehrfach vor einer Schwachstelle gewarnt haben, die später vom Cybersecurity-Anbieter CyberArk als "Golden SAML" bezeichnet wurde. Das berichtet ProPublica.
Die Schwachstelle, die die Ausnutzung der Active Directory Federation Services von Microsoft ermöglichte, könnte es einem Bedrohungsakteur erlauben, leichter Zugang zu einer kompromittierten Umgebung zu erhalten und dabei unentdeckt zu bleiben. Microsoft empfiehlt nun, dass Active Directory Federation Services-Kunden auf das neuere Microsoft Entra ID-System migrieren.
Harris, der zuvor für das Verteidigungsministerium gearbeitet hatte, wurde von Microsoft eingestellt, um sein technisches Fachwissen einzubringen und zu verhindern, dass Produkte von Hackern kompromittiert werden, berichtet ProPublica in seinem am Donnerstag veröffentlichten Artikel. Er verließ Microsoft im August 2020, um für den konkurrierenden Cybersicherheitsanbieter CrowdStrike zu arbeiten, einige bevor dann eine gravierende Sicherheitslücke bei SolarWinds entdeckt wurde, zu einer folgenschweren Kompromittierung von Kunden-Systemen führte.
Bei dem Angriff auf die Software-Lieferkette von SolarWinds infizierten Bedrohungsakteure, die mit dem russischen Auslandsgeheimdienst SVR in Verbindung gebracht werden, die Netzwerküberwachungssoftware Orion mit bösartigem Code.
Nachdem die Malware in Orion eingeschleust worden war, wurde die verseuchte Software laut Forschern von Tausenden von Kunden heruntergeladen, darunter auch US-Behörden und große Unternehmen, was zu zahlreichen weiteren Datenverletzungen führte.
Hätte Microsoft früher auf die Warnungen von Harris reagiert, hätte es laut dem ProPublica-Bericht vermutlich dazu beitragen können, einige der Angriffe auf Kunden von SolarWinds einzudämmen, die unter Ausnutzung der Golden SAML-Schwachstelle durchgeführt wurden. Zu den Opfern, die unter Ausnutzung der Schwachstelle angegriffen wurden, gehörten dem Bericht zufolge die National Nuclear Security Administration und die National Institutes of Health.
"Microsoft hat die Ergebnisse von ProPublica nicht bestritten", heißt es in dem Bericht.
In einer Erklärung von Microsoft, die CRN am Donnerstag zur Verfügung gestellt wurde, sagte das Unternehmen, dass SAML (Security Assertion Markup Language) "ein Industriestandard für die Authentifizierung" sei und dass "es keine inhärenten Schwachstellen in diesem Standard gibt. Die Unterstützung von SAML selbst stellt keine Schwachstelle für Identitätsdienste dar".
Das Unternehmen fügte hinzu, dass "unser Sicherheitsteam alle Sicherheitsprobleme ernst nimmt und jeden Fall mit der gebührenden Sorgfalt einer gründlichen manuellen Bewertung unterzieht, sowie mit technischen und Sicherheitspartnern abgleicht. Unsere Bewertung dieses Problems wurde mehrfach überprüft und stimmte mit dem Branchenkonsens überein."
Der ProPublica-Bericht wurde veröffentlicht, als Microsoft-Präsident Brad Smith vor dem Heimatschutzausschuss des US-Repräsentantenhauses aussagte, wo er Berichten zufolge sagte, dass Microsoft "die Verantwortung" für Sicherheitslücken übernimmt, die kürzlich im Zusammenhang mit einem anderen Cyberangriff festgestellt wurden. Smith reagierte damit auf den Bericht des Cyber Safety Review Board vom April über den E-Mail-Angriff auf die Microsoft-Cloud 2023, in dem die Sicherheitskultur und -praktiken des Unternehmens scharf kritisiert wurden.