Lehren aus der SolarWinds-Attacke Risiken der Privilege Escalation in der Cloud

Das berühmte Motto des Facebook-Gründers und CEO, Mark Zuckerberg, lautet: „move fast and break things” – zu Deutsch: „Bewege dich schnell und zerbreche Dinge.” Es gilt als ein Treiber der Innovationen und des Wachstums seines Unternehmens.

Sich ständig schnell zu bewegen, oft schneller als geplant, ist jedoch auch mit Herausforderungen verbunden, wie Organisationen weltweit während der Covid-19-Pandemie feststellen mussten.

So wurden im Jahr 2020 als Reaktion auf die Krise Projekte vieler Unternehmen zur digitalen Transformation mehr als fünf Jahre vorzeitig umgesetzt. Diese schnelle Umstellung auf massenhafte Fernarbeit und Cloud-Anbindung bedeutet aber auch, dass auf dem Weg dorthin einiges schief gegangen ist – einschließlich im Bereich der IT-Sicherheit.

Eine unserer Untersuchungen von Mitte 2020 ergab, dass die Sicherheit in der Public Cloud für 75 Prozent der Unternehmen ein großes Problem darstellt und über 80 Prozent stellten sogar fest, dass ihre vorhandenen Sicherheitslösungen in der Cloud nicht oder eingeschränkt funktionieren. Das setzt sie dem Risiko neuartiger Bedrohungen aus. Die dynamische Natur der Cloud ist dabei einer der Gründe für diese Gefahren. Sie führt häufig zu falsch konfigurierten Berechtigungen und Privilegien, die mit Identitäten oder Benutzern verknüpft sind.

Cyber-Kriminelle haben diese Fehlkonfigurationen und Schwachstellen schnell entdeckt und ausgenutzt. Der „2020 Cost of a Data Breach Report“ des Ponemon Institute identifizierte Cloud-Fehlkonfigurationen als bevorzugten Einstiegspunkt aller Angreifer: In Kombination mit gestohlenen oder kompromittierten Anmeldedaten waren sie die Ursache für fast 40 Prozent aller Zwischenfälle. Sie führten außerdem zu einem der größten und verheerendsten Angriffe aller Zeiten: Die „Sunburst-Attacke“. Hier geschah eine Kompromittierung der Lieferkette, wobei über eine in die SolarWinds-Netzwerkverwaltung eingebettete Hintertür über 18 000 staatliche und private Technologie-Unternehmen weltweit angegriffen wurden.

Geblendet von Sunburst

Dark Halo, der Akteur hinter den Sunburst-Angriffen, hat sich stark auf das Cloud-Modell und dessen Schwachstellen verlassen, um auf sensible Informationen zugreifen zu können und in den Netzwerken der Unternehmen Fuß zu fassen. Sobald ein Unternehmen kompromittiert worden war, bewegte sich der Angreifer seitlich von der Hintertür im SolarWinds-Server weg, hin zum Active Directory Federation Services-Server. Dieser ist für die Single-Sign-On-Prozesse der Unternehmen zuständig. Er regelt den Zugriff auf Cloud-Dienste, wie Microsoft (Office) 365, die über ein Konto mit einmaliger Anmeldung erreicht werden können.

Ab diesem Punkt nutzte der Angreifer eine zuvor veröffentlichte Technik, um einen dauerhaften, vollständigen und schwierig zu entdeckenden Zugriff auf die Cloud-Dienste des Opfers zu erlangen. Dies ermöglichte es ihm, Daten aus E-Mails und Speichern zu erkunden, zu lesen und zu stehlen.

Wie aber konnte der Angreifer überhaupt die Systeme von SolarWinds infiltrieren und sich so die Plattform für seine Attacke verschaffen? Derzeit sind gestohlene oder sogar erratene Anmeldedaten eine der Möglichkeiten, die SolarWinds untersucht: Führungskräfte machen einen Praktikanten des Unternehmens für eine kritische Lücke in der Kennwortsicherheit verantwortlich, die jahrelang unentdeckt blieb. Ein zentrales Passwort sei abhandengekommen. Noch können die Verantwortlichen diese Lücke als Ursache des Angriffs nicht ausschließen. Sollte sich die Vermutung als Tatsache entpuppen, würde dies unterstreichen, wie bedeutsam ein einziges gestohlenes Passwort sein kann.

Fremde Privilegien ausnutzen

SolarWinds ist nun eines der bekanntesten Beispiele für eine signifikante Ausnutzung der üblichen Cloud-Fehlkonfigurationen geworden. Deutlich lassen sich die Ursachen und ihre Folgen der Identitäts- und Zugriff-Management (IAM)-Fehlkonfigurationen betrachten, mit denen der Konzern in die Schlagzeilen geriet. Über den gezielten Angriff gegen die Cloud-Konten holte sich der Angreifer die Zugangs-Privilegien der Opfer und missbrauchte sie für sich selbst. Eine Angriffsfläche bieten oft Fehler in der Berechtigungs- oder Vertrauensrichtlinienlogik des Cloud-Anbieters. Der Angreifer kann sich fortan seitlich innerhalb der Cloud-Umgebung des Unternehmens von System zu System bewegen, um private Schlüssel für Zertifikate, sensible Informationen über das Geschäft, oder Datenbanken mit Anmelde-Informationen zu stehlen.

Im Wesentlichen sehen wir also eine Verlagerung der Angriffe weg von der Cloud-Peripherie und hin zu Cloud-Konten. Die Attacken vertrauen auf die Methode der Rollenübernahme – das ist die Fähigkeit, kurzfristige Berechtigungen für autorisierte Bereiche zu erhalten – die häufig auf Social Engineering basiert, also auf der Bespitzelung einer bestimmten Person. Laut Sicherheitsforschern können verschiedene IAM-Rollen für über 22 anfällige APIs in 16 AWS-Services missbraucht werden. Solche Privilege Escalation Exploits, die auf Berechtigungseinstellungen basieren, finden sich unter anderem beim Unternehmen Salesforce, das im Gegensatz zu Amazon Web Services (AWS) eine Software-as-a-service-Lösung (Saas) ist.

Diese neue Klasse von Angriffen zur Erweiterung der eigenen Privilegien, die strukturelle Komponente der Cloud-Infrastruktur ausnutzen, kann oft durch die Verkettung mehrerer Schwachstellen und Fehlkonfigurationen durchgeführt werden. Der Zugang kann über eine verwundbare, in der Cloud aufgesetzte Anwendung erfolgen, über welche Hacker ein Anmelde-Token abfangen. Dieses ist erforderlich, um erhöhte Berechtigungen zu erlangen. Nun können sie sich innerhalb der verschiedenen Segmente der IT-Umgebung bewegen und schrittweise ihre Zugangsberechtigungen erweitern.

Diese Angriffe setzen das Verständnis der Komponenten, der IT-Architektur und der Vertrauensrichtlinien von Infrastructure-as-a-service (Iaas, wie AWS) und SaaS-Anbietern voraus, um wirklich ausgeklügelte und mehrstufige Angriffe konstruieren zu können. Dagegen stehen die einfacheren, bislang üblichen Arten von Datenverletzungen, die meist auf falsch konfigurierten Einstellungen beruhten, wie bei öffentlich zugänglichen AWS-S3-Speicher-Buckets.

Privilegien schützen

Der Sunburst-Angriff zeigt, dass eine Schwachstelle manchmal in einer bestimmten Anwendung vorkommt, oder sogar in mehreren Anwendungen innerhalb einer IT-Umgebung. Es ist daher wichtig, stets die aktuellen Patches aller verwendeten Anwendungen installiert zu haben oder dies so schnell wie möglich nachzuholen. Außerdem ist es sinnvoll, überflüssige Dienste innerhalb einer Anwendung zu deaktivieren, um die Zugriffspunkte im Netzwerk zu mindern.

Unternehmen sollten ihre Netzwerke und Cloud-Infrastrukturen des Weiteren nach dem Zero-Trust-Prinzip der geringsten notwendigen Privilegien gestalten. Dann haben die Benutzer keinen Zugriff auf Dienste, Dateien oder Anwendungen, die sie nie oder selten nutzen, daher nicht ständig brauchen und deswegen nicht in der Netzwerkumgebung sehen müssen. Sollte doch eine benötigt werden, kann der Zugang individuell geprüft, dann dennoch gewährt werden. So bleibt ein großer Teil des Netzwerkes für viele Nutzer unsichtbar – und damit für Angreifer, die ein Benutzerkonto stehlen.

Schließlich müssen Unternehmen einen lückenlosen Blick über ihre Public-Cloud-Umgebungen erhalten und einheitliche, automatisierte Cloud-Schutzmechanismen einsetzen, um diese moderne IT-Umgebung angemessen zu verteidigen. Auf diese Weise lässt sich auch der Spagat bewältigen, um geschäftliche Anforderungen zu erfüllen und gleichzeitig kontinuierliche Sicherheit sowie Compliance zu garantieren.

* Die Autorin Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO, bei der Check Point Software Technologies GmbH.

(ID:47473754)