Microsoft : Leitfaden für Partner zu gezielten Nobelium-Angriffen

Sehr geehrte Damen und Herren,

Microsoft hat einen Leitfaden veröffentlicht, der Partnern und Kunden helfen soll, sich gegen Aktivitäten von Nationalstaaten zu schützen, die mit dem als Nobelium bezeichneten Bedrohungsakteur in Verbindung stehen. Nobelium ist derselbe Akteur, der auch hinter der SolarWinds-Kompromittierung im Jahr 2020 steckt, und diese jüngste Aktivität weist die gleichen Merkmale auf wie der Ansatz des Akteurs, eine Kompromittierung nach der anderen vorzunehmen. Microsoft hat Organisationen, die nach Beobachtungen des Microsoft Threat Intelligence Centers (MSTIC) von Nobelium angegriffen oder kompromittiert wurden, über unser nationales Meldeverfahren informiert.

Um die potenziellen Auswirkungen dieser Nobelium-Aktivitäten zu verringern, sollten Cloud Service Provider (CSP), Managed Service Provider (MSP) und andere IT-Dienstleister, die sich auf delegierte administrative Rechte verlassen (zusammenfassend als „Service Provider“ bezeichnet) oder denen von ihren Kunden andere administrative Rechte eingeräumt wurden, die nachstehenden Hinweise prüfen und umgehend Abhilfemaßnahmen für Ihr eigenes Unternehmen und Ihre Kunden umsetzen.

Microsoft hat beobachtet, dass Nobelium es auf privilegierte Konten von Dienstanbietern abgesehen hat, um sich seitlich in Cloud-Umgebungen zu bewegen und die vertrauenswürdigen technischen Beziehungen auszunutzen, um sich Zugang zu nachgelagerten Kunden zu verschaffen und weitere Angriffe zu ermöglichen oder auf gezielte Systeme zuzugreifen.

Diese Angriffe sind nicht das Ergebnis einer Sicherheitslücke im Produkt, sondern vielmehr die Fortsetzung der Verwendung eines vielfältigen und dynamischen Instrumentariums durch Nobelium, das ausgeklügelte Malware, Passwort-Sprays, Angriffe auf die Lieferkette, Token-Diebstahl, API-Missbrauch und Spear-Phishing umfasst, um Benutzerkonten zu kompromittieren und den Zugang zu diesen Konten auszunutzen. Diese Angriffe haben deutlich gemacht, dass alle Administratoren strenge Praktiken zur Kontosicherheit anwenden und zusätzliche Maßnahmen zur Sicherung ihrer Umgebungen ergreifen müssen.

Bei den beobachteten Angriffen auf die Lieferkette werden auch nachgelagerte Kunden von Dienstleistern und anderen Organisationen von Nobelium ins Visier genommen. In diesen Anbieter-Kunden-Beziehungen überträgt ein Kunde dem Anbieter administrative Rechte, damit der Anbieter die Mieter des Kunden so verwalten kann, als wäre er ein Administrator innerhalb der Organisation des Kunden.

Durch den Diebstahl von Zugangsdaten und die Kompromittierung von Konten auf der Ebene des Dienstanbieters kann Nobelium mehrere potenzielle Vektoren nutzen, einschließlich, aber nicht beschränkt auf delegierte administrative Privilegien (DAP), und dann diesen Zugang nutzen, um nachgelagerte Angriffe über vertrauenswürdige Kanäle wie nach außen gerichtete VPNs oder einzigartige Anbieter-Kunden-Lösungen auszuweiten, die den Netzwerkzugang ermöglichen.

Lesen Sie den Microsoft-Partner-Blog mit Hinweisen für Partner und nachgeschaltete Kunden und ergreifen Sie sofortige Maßnahmen.