{"id":1909,"date":"2021-07-20T06:36:59","date_gmt":"2021-07-20T06:36:59","guid":{"rendered":"https:\/\/network-king.net\/microsoft-warnt-vor-neuer-sicherheitsluecke-in-solarwinds-produkten\/"},"modified":"2022-03-23T08:40:58","modified_gmt":"2022-03-23T08:40:58","slug":"microsoft-warnt-vor-neuer-sicherheitsluecke-in-solarwinds-produkten","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/microsoft-warnt-vor-neuer-sicherheitsluecke-in-solarwinds-produkten\/","title":{"rendered":"Microsoft warnt vor neuer Sicherheitsl\u00fccke in SolarWinds-Produkten"},"content":{"rendered":"\n

Vergangene Woche teilte SolarWinds in einer Erkl\u00e4rung<\/a> mit, dass das Unternehmen von Microsoft \u00fcber eine Zero-Day-Schwachstelle informiert wurde, die die Produkten Serv-U Managed File Transfer Server<\/a> und Serv-U Secured FTP<\/a> betrifft \u2013 und somit den Serv-U Gateway, der eine Komponente beider Produkte ist. Die Schwachstelle wurde von einem einzelnen Akteur ausgenutzt, um eine begrenzte Anzahl von Kunden anzugreifen.<\/p>\n\n\n\n

Der Warnung zufolge sei der Angreifer in der Lage, aus der Ferne beliebigen Code mit Privilegien auszuf\u00fchren, wodurch er Programme installieren und Daten auf verwundbaren Systemen sehen, \u00e4ndern oder l\u00f6schen k\u00f6nnte.<\/p>\n\n\n\n

SolarWinds sagte, dass die Angriffe von Microsoft-Teams aufgedeckt wurden, die bemerkt hatten, dass die Angriffe \u00fcber eine Remote-Code-Ausf\u00fchrung auf SolarWinds Serv-U durchgef\u00fchrt wurden. Dar\u00fcber hinaus pr\u00e4sentierte Microsoft ein Proof of Concept des Eingriffs zusammen mit Beweisen f\u00fcr die Zero-Day-Angriffe.<\/p>\n\n\n\n

Die Schwachstelle betrifft die aktuelle Serv-U-Version 15.2.3 HF1, die am 5. Mai 2021 erschienen ist, sowie alle fr\u00fcheren Versionen. Ein Hotfix ist jetzt verf\u00fcgbar (Serv-U 15.2.3 HF2<\/a>). Bitte beachten Sie die untenstehende Tabelle mit den Sicherheitsupdates, um das f\u00fcr Ihr System zutreffende Update zu finden. Das Unternehmen empfiehlt seinen Kunden, diese Updates umgehend zu installieren.<\/p>\n\n\n\n

\"\"
Quelle: SolarWinds<\/figcaption><\/figure><\/div>\n\n\n\n

Laut SolarWinds steht dieser Zero-Day-Angriff in keinem Zusammenhang mit dem Orion-Fall, in den das Unternehmen Ende 2020 verwickelt war. Manipulierte Updates f\u00fcr das SolarWinds-Produkt Orion hatten einen der gr\u00f6\u00dften Supply-Chain-Angriffe der Geschichte verursacht, der mehrere Privatunternehmen, aber vor allem gro\u00dfe US-Regierungsbeh\u00f6rden beeintr\u00e4chtigte.<\/p>\n\n\n\n

Bei dem Angriff wurde festgestellt, dass 18.000 Kunden die Updates als echt angesehen und heruntergeladen hatten. Nach der Installation wurde die T\u00fcr f\u00fcr weitere Angriffe ge\u00f6ffnet, sodass andere potenziell kriminelle Aktivit\u00e4ten wie Spionage und der Diebstahl von Staatsgeheimnissen folgen konnten.<\/p>\n\n\n\n

Wie k\u00f6nnen Sie herausfinden, ob Ihr System angegriffen wurde?<\/h2>\n\n\n\n

SolarWinds zufolge k\u00f6nnen Sie mit den folgenden Schritten feststellen, ob Ihre Umgebung kompromittiert wurde:<\/p>\n\n\n\n

  1. Ist SSH f\u00fcr Ihre Serv-U-Installation aktiviert? Wenn SSH in der Umgebung nicht aktiviert ist, besteht die Sicherheitsl\u00fccke nicht.<\/li>
  2. Gibt Ihre Umgebung Ausnahmesituationen aus? Bei diesem Angriff handelt es sich um einen Return Oriented Programming (ROP)-Angriff. Wenn die Schwachstelle ausgenutzt wird, l\u00f6st das Serv-U-Produkt eine Ausnahme aus und f\u00e4ngt dann den Code f\u00fcr die Behandlung dieser ab, um Befehle auszuf\u00fchren.\r\n\r\n \r\n\r\n \r\n\r\nBitte beachten Sie, dass es mehrere Gr\u00fcnde f\u00fcr das Ausl\u00f6sen von Ausnahmen gibt, so dass eine Ausnahme an sich nicht zwangsl\u00e4ufig ein Indikator f\u00fcr einen Angriff ist.\r\n\r\nBitte sammeln Sie die Protokolldatei DebugSocketlog.txt.\r\n\r\nIn der Protokolldatei DebugSocketlog.txt sehen Sie m\u00f6glicherweise eine Ausnahme, wie z. B.:\r\n\r\n07] Tue 01Jun21 02:42:58 – EXCEPTION: C0000005;  CSUSSHSocket::ProcessReceive(); Type: 30; puchPayLoad = 0x041ec066;  nPacketLength = 76; nBytesReceived = 80;  nBytesUncompressed = 156;  uchPaddingLength = 5\r\n\r\nAusnahmen k\u00f6nnen auch aus anderen Gr\u00fcnden ausgel\u00f6st werden, daher sollten Sie die Protokolle sammeln, um herauszufinden, in welcher Situation Sie sich befinden.<\/li>
  3. Sehen Sie potenziell verd\u00e4chtige Verbindungen \u00fcber SSH? Suchen Sie nach Verbindungen \u00fcber SSH von den folgenden IP-Adressen, die als potenzieller Indikator f\u00fcr einen Angriff durch den Angreifer gemeldet wurden:\r\n98.176.196.89\r\n68.235.178.32\r\noder suchen Sie nach Verbindungen \u00fcber TCP 443 von der folgenden IP-Adresse: 208.113.35.58<\/li><\/ol>\n","protected":false},"excerpt":{"rendered":"

    Vergangene Woche teilte SolarWinds in einer Erkl\u00e4rung mit, dass das Unternehmen von Microsoft \u00fcber eine Zero-Day-Schwachstelle informiert wurde, die die Produkten Serv-U Managed File Transfer Server und Serv-U Secured FTP betrifft \u2013 und somit den Serv-U Gateway, der eine Komponente beider Produkte ist. Die Schwachstelle wurde von einem einzelnen Akteur ausgenutzt, um eine begrenzte Anzahl…<\/p>\n","protected":false},"featured_media":1810,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-1909","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/1909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=1909"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/1810"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=1909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=1909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=1909"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=1909"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=1909"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=1909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}