von Redaktion IT-A…
Lesezeit
1 Minute
Supply-Chain-Angriff auf Passwort-Manager
Was mit SolarWinds Ende letzten Jahres im größeren Stil begann, setzt sich nun anscheinend fort: Lieferkettenangriffe auf legitime Softwarehersteller. Die neuesten Opfer sind HashiCorp und Passwordstate. Bei letzterem gelang es den Angreifern, schadhaften Code über ein Update einzuschleusen, um so Kennwörter und andere vertrauliche Daten zu stehlen.
Immer öfter versuchen Angreifer offenbar, über das Einschleusen von Code in legitime Software auf die Rechner und an die Daten ihrer Opfer zu gelangen. Der Vorteil liegt auf der Hand: Als vertrauenswürdige Programme samt gültigem Zertifikat finden diese bei Antimalware-Produkten deutlich weniger Beachtung, als unsignierte und unbekannte Executables, die aus irgendeiner dubiosen Download-Quelle oder einer E-Mail stammen. Dementsprechend verstecken Hacker ihre Schadsoftware nun gehäuft in weit verbreiteten Applikationen, um so einen Fuß in Unternehmensnetze oder Heimrechner zu bekommen.
Die neuesten unfreiwilligen Vehikel für diese Art von Angriff waren HashiCorp und Passwordstate. HashiCorp [1] hatte dabei offenbar noch Glück im Unglück, denn die Angreifer konnten zwar einen GPG-Key stehlen, mit dem sich Software im Namen von HashiCorp gültig signieren ließ (inzwischen wurden die Keys geändert), doch scheint dieser Schlüssel nicht zum Einsatz gekommen zu sein. Auch wurde nach bisherigen Erkenntnissen kein Code von HashiCorp manipuliert. Grund für den erfolgreichen Angriff war wiederum eine Schwachstelle bei Codecov [2], also ebenfalls eine Supply-Chain-Attecke.
Passwortklau durch verseuchtes Update
Weniger Glück hingegen hatte Passwordstate beziehungsweise die dahinterstehende Softwarefirma Click Studios, deren Passwortmanager kompromittiert wurde [3]. Dieser kommt in zahlreichen Firmen zum Einsatz, was den Hack besonders gefährlich macht. So gelang es den Angreifern, ein schadhaftes In-Place-Update zwischen dem 20. und 22. April auf die Rechner der Opfer einzuspielen. In diesem enthalten war die Malware "Moserware", die vertrauliche Informationen einschließlich der vorhandenen Kennwörter abgezogen hat. Nutzer von Passwordstate, die ein Update in dem genannten Zeitraum eingespielt haben, sollten daher davon ausgehen, dass ihre Umgebung infiltriert wurde und die Passwörter als kompromittiert gelten [4].
Diese beiden neuesten Beispiele zeigen, welches Schadenspotenzial in erfolgreichen Supply-Chain-Angriffen steckt und wie wenig Unternehmen derzeit offenbar dagegen tun können. Die einzigen Ansätze sind die üblichen Security-Best-Practices: Assume Breach, Zero Trust und Attack Surface Reduction. Dazu gehört dann eben auch, die Anzahl an Softwareherstellern im eigenen Unternehmen auf das unbedingt nötige Maß zu reduzieren. Ansonsten liegt der Ball im Feld der Softwarehersteller, die ihre eigenen Systeme so gut wie möglich absichern müssen, um nicht zum unfreiwilligen Überbringer von Malware zu werden.
dr
[1] https://discuss.hashicorp.com/t/hcsec-2021-12-codecov-security-event-and-hashicorp-gpg-key-exposure/23512
[2] https://about.codecov.io/security-update/
[3] https://www.csis.dk/newsroom-blog-overview/2021/moserpass-supply-chain/
[4] https://www.clickstudios.com.au/advisories/csa-210386-ClickStudios.pdf
Die neuesten unfreiwilligen Vehikel für diese Art von Angriff waren HashiCorp und Passwordstate. HashiCorp [1] hatte dabei offenbar noch Glück im Unglück, denn die Angreifer konnten zwar einen GPG-Key stehlen, mit dem sich Software im Namen von HashiCorp gültig signieren ließ (inzwischen wurden die Keys geändert), doch scheint dieser Schlüssel nicht zum Einsatz gekommen zu sein. Auch wurde nach bisherigen Erkenntnissen kein Code von HashiCorp manipuliert. Grund für den erfolgreichen Angriff war wiederum eine Schwachstelle bei Codecov [2], also ebenfalls eine Supply-Chain-Attecke.
Passwortklau durch verseuchtes Update
Weniger Glück hingegen hatte Passwordstate beziehungsweise die dahinterstehende Softwarefirma Click Studios, deren Passwortmanager kompromittiert wurde [3]. Dieser kommt in zahlreichen Firmen zum Einsatz, was den Hack besonders gefährlich macht. So gelang es den Angreifern, ein schadhaftes In-Place-Update zwischen dem 20. und 22. April auf die Rechner der Opfer einzuspielen. In diesem enthalten war die Malware "Moserware", die vertrauliche Informationen einschließlich der vorhandenen Kennwörter abgezogen hat. Nutzer von Passwordstate, die ein Update in dem genannten Zeitraum eingespielt haben, sollten daher davon ausgehen, dass ihre Umgebung infiltriert wurde und die Passwörter als kompromittiert gelten [4].
Diese beiden neuesten Beispiele zeigen, welches Schadenspotenzial in erfolgreichen Supply-Chain-Angriffen steckt und wie wenig Unternehmen derzeit offenbar dagegen tun können. Die einzigen Ansätze sind die üblichen Security-Best-Practices: Assume Breach, Zero Trust und Attack Surface Reduction. Dazu gehört dann eben auch, die Anzahl an Softwareherstellern im eigenen Unternehmen auf das unbedingt nötige Maß zu reduzieren. Ansonsten liegt der Ball im Feld der Softwarehersteller, die ihre eigenen Systeme so gut wie möglich absichern müssen, um nicht zum unfreiwilligen Überbringer von Malware zu werden.
dr
[1] https://discuss.hashicorp.com/t/hcsec-2021-12-codecov-security-event-and-hashicorp-gpg-key-exposure/23512
[2] https://about.codecov.io/security-update/
[3] https://www.csis.dk/newsroom-blog-overview/2021/moserpass-supply-chain/
[4] https://www.clickstudios.com.au/advisories/csa-210386-ClickStudios.pdf
