SolarWinds-Hack: Microsoft bestätigt Zugriffe auf Quellcode von Azure, Exchange und Intune

Microsoft hat das Ergebnis seiner Untersuchung zum Angriff auf seine Systeme mittels der gehackten SolarWinds-Software Orion vorgestellt. Demnach hatten die Einbrecher Zugriff auf Quellcode von Azure, Exchange und Intune. Es seien aber weder die eigenen internen Systeme noch offizielle Microsoft-Produkte benutzt worden, um die Hacking-Kampagne auszuweiten oder Verbraucher und Geschäftskunden anzugreifen.

Am 31. Dezember 2020 hatte Microsoft bestätigt, dass sich Unbefugte Zugang zu seinem internen Netzwerk verschafft hatten. Einfallstor war die Orion-Software von SolarWinds. Hackern hatten es zuvor geschafft, Updates für die Netzwerkmanagementlösung zu manipulieren und mit Schadsoftware zu versehen, die dann über die offiziellen Update-Server von SolarWinds verteilt wurde.

Nun teilte Microsoft mit, dass die erste Zugriffe auf Dateien im Source Repository Ende November 2020 erfolgten. Beendet wurde der Angriff erst mit der Absicherung der betroffenen Konten. Die Hintermänner hätten allerdings noch bis Anfang Januar 2021 versucht, sich erneut Zugang zu verschaffen – also auch noch, nachdem der SolarWinds-Hack bereits aufgeflogen war.

Microsoft betonte, dass nur jeweils nur einzelne Dateien auf einem Repository kompromittiert wurden. “Es gab keinen Fall, in dem auf alle Repositories für ein einzelnes Produkt oder einen Dienst zugegriffen wurde”, sagte das Sicherheitsteam des Unternehmens. “Es gab keinen Zugriff auf die große Mehrheit des Quellcodes.”

Dem Untersuchungsbericht zufolge war der Softwarekonzern in der Lage, Suchvorgänge der Hacker in seinen Repositories nachzuvollziehen. Die Hacker sollen sich darauf konzentriert haben, bestimmte vertrauliche Informationen wie Access Tokens aufzuspüren. Ziel sei es offenbar gewesen, den Angriff innerhalb der Microsoft-Systeme auszuweiten. Damit seien die Hacker gescheitert, weil Microsoft das Hinterlegen vertraulicher Informationen im Quellcode untersage.

Den Hackern gelang es aber auch, Teile von Quellcode herunterzuladen. Microsoft spricht von “geringen Mengen” von Intune- und Exchange-Komponenten. Azure-Quellcode wurde zudem aus den Bereichen Service, Sicherheit und Identität abgezogen.

Das Weiße Haus teilte indes mit, dass der SolarWinds-Hack insgesamt rund 100 US-Unternehmen betrifft. Vorrangig seien die Hacker gegen Technikfirmen vorgegangen. Außerdem brachen sie bei mindesten neun Regierungsbehörden ein. Die US-Regierung befürchtet nun, dass vor allem die bei Technikfirmen erbeuteten Informationen den Hackern bei künftigen Attacken auf Behörden und staatliche Einrichtungen helfen könnten. Auch seien die Angriffe so fortschrittlich, dass es wahrscheinlich mehrere Monate gedauert habe, sie zu planen.