Microsoft ha publicat detalls addicionals sobre l'atac que va comprometre la infraestructura de SolarWinds que va implementar un backdoor a la plataforma d'administració d'infraestructura de xarxa SolarWinds Orion, que es va utilitzar a la xarxa corporativa de Microsoft.
L'anàlisi de l'incident va mostrar que els atacants van obtenir accés a alguns comptes corporatives de Microsoft i durant l'auditoria, es va revelar que aquests comptes es van utilitzar per accedir a repositoris interns amb el codi de productes de Microsoft.
S'al·lega que els drets dels comptes compromeses només permetien veure el codi, Però no brindaven la possibilitat de realitzar canvis.
Microsoft ha assegurat als usuaris que una verificació addicional ha confirmat que no s'han introduït canvis maliciosos al repositori.
A més, no es van trobar rastres de l'accés dels atacants a les dades dels clients de Microsoft, intents de comprometre els serveis prestats i l'ús de la infraestructura de Microsoft per dur a terme atacs a altres empreses.
Ja que l'atac a SolarWinds va conduir a la introducció d'un backdoor no només a la xarxa de Microsoft, sinó també en moltes altres empreses i agències governamentals que utilitzen el producte SolarWinds Orion.
L'actualització de l'backdoor de SolarWinds Orion s'ha instal·lat en la infraestructura de més de 17.000 clients de SolarWinds, incloses 425 de les 500 empreses Fortune 500 afectades, així com importants institucions financeres i bancs, centenars d'universitats, moltes divisions de l'exèrcit d'EE. UU. I el Regne Unit, la Casa Blanca, NSA, Departament d'Estat dels . UU. i el Parlament Europeu.
Els clients de SolarWinds també inclouen companyies importants com Cisco, AT & T, Ericsson, NEC, Lucent, Mastercard, Visa USA, Level 3 i Siemens.
el backdoor permetre l'accés remot a la xarxa interna dels usuaris de SolarWinds Orion. El canvi maliciós es va enviar amb les versions de SolarWinds Orion 2019.4 - 2020.2.1 llançades de març a juny de 2020.
Durant l'anàlisi de l'incident, va sorgir un menyspreu per la seguretat dels grans proveïdors de sistemes corporatius. Se suposa que l'accés a la infraestructura de SolarWinds es va obtenir a través d'un compte de Microsoft Office 365.
Els atacants van obtenir accés a l'certificat SAML utilitzat per generar signatures digitals i van utilitzar aquest certificat per generar nous tokens que van permetre l'accés privilegiat a la xarxa interna.
Abans d'això, al novembre de 2019, investigadors de seguretat externs van notar l'ús de la contrasenya trivial «SolarWind123» per a l'accés d'escriptura a servidor FTP amb actualitzacions de productes de SolarWinds, així com la filtració de la contrasenya d'un dels empleats de SolarWinds al repositori públic de git.
A més, després que es va identificar el backdoor, SolarWinds va continuar distribuint actualitzacions amb canvis maliciosos durant algun temps i no va revocar immediatament el certificat utilitzat per signar digitalment els seus productes (el problema va sorgir el 13 de desembre i el certificat es va revocar el 21 de desembre ).
En resposta a les queixes sobre els sistemes d'alerta emesos pels sistemes de detecció de malware, es va encoratjar als clients a desactivar la verificació eliminant les advertències de falsos positius.
Abans d'això, els representants de SolarWinds van criticar activament el model de desenvolupament de codi obert, comparant l'ús de codi obert amb menjar-se una forquilla brut i afirmant que un model de desenvolupament obert no exclou l'aparició de marcadors i només un model propietari pot proporcionar control sobre el codi.
A més, el Departament de Justícia d'EE. UU. Va revelar informació que els atacants van obtenir accés a servidor de correu de l'Ministeri basat en la plataforma Microsoft Office 365. Es creu que l'atac va filtrar el contingut de les bústies de correu d'uns 3.000 empleats de Ministeri.
Per la seva banda The New York Times i Reuters, sense detallar la font, Van informar d'una investigació de l'FBI sobre un possible vincle entre JetBrains i el compromís de SolarWinds. SolarWinds va utilitzar el sistema d'integració contínua TeamCity subministrat per JetBrains.
Se suposa que els atacants podrien haver obtingut accés a causa de configuracions incorrectes o a l'ús d'una versió no actualitzada de TeamCity que conté vulnerabilitats sense posar pegats.
El director de JetBrains va rebutjar les especulacions sobre la connexió de la companyia amb l'atac i va indicar que les agències d'aplicació de la llei o els representants de SolarWinds no els van contactar sobre un possible compromís de TeamCity en la infraestructura de SolarWinds.
font: https://msrc-blog.microsoft.com