Společnost Microsoft vydala další podrobnosti o útoku která narušila infrastrukturu SolarWinds která implementovala zadní vrátka na platformě pro správu síťové infrastruktury SolarWinds Orion, která byla použita v podnikové síti společnosti Microsoft.
Analýza incidentu to ukázala útočníci získali přístup k některým firemním účtům Microsoftu a během auditu vyšlo najevo, že tyto účty byly použity k přístupu do interních úložišť s kódem produktu Microsoft.
Tvrdí se, že práva napadených účtů umožňovala zobrazit pouze kód, ale neposkytli možnost provádět změny.
Microsoft ujistil uživatele, že další ověření potvrdilo, že v úložišti nebyly provedeny žádné škodlivé změny.
Navíc, nebyly nalezeny žádné stopy přístupu útočníků k údajům zákazníků společnosti Microsoft, pokusy o kompromitování poskytovaných služeb a využívání infrastruktury společnosti Microsoft k provádění útoků na jiné společnosti.
Od útoku na SolarWinds vedlo k zavedení zadních vrátek nejen v síti Microsoft, ale také v mnoha dalších společnostech a vládních agenturách pomocí produktu SolarWinds Orion.
Aktualizace backdoor SolarWinds Orion byl nainstalován do infrastruktury více než 17.000 XNUMX zákazníků od společnosti SolarWinds, včetně 425 postižených společností Fortune 500, a také od velkých finančních institucí a bank, stovek univerzit, mnoha divizí americké armády a Velké Británie, Bílého domu, NSA, amerického ministerstva zahraničí USA a Evropský parlament.
Mezi zákazníky SolarWinds patří také významné společnosti jako jsou Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, úroveň 3 a Siemens.
Zadní vrátka povolený vzdálený přístup k vnitřní síti uživatelů SolarWinds Orion. Škodlivá změna byla dodána s verzemi SolarWinds Orion 2019.4 - 2020.2.1 vydanými od března do června 2020.
Během analýzy incidentu od velkých poskytovatelů podnikových systémů se objevilo ignorování bezpečnosti. Předpokládá se, že přístup k infrastruktuře SolarWinds byl získán prostřednictvím účtu Microsoft Office 365.
Útočníci získali přístup k certifikátu SAML použitému ke generování digitálních podpisů a pomocí tohoto certifikátu vygenerovali nové tokeny, které umožňovaly privilegovaný přístup k interní síti.
Před tímto, v listopadu 2019, si externí bezpečnostní vědci všimli použití triviálního hesla „SolarWind123“ pro přístup k zápisu na FTP server s aktualizacemi produktu SolarWinds, stejně jako úniku hesla zaměstnance. ze SolarWinds ve veřejném úložišti git.
Poté, co byla identifikována zadní vrátka, společnost SolarWinds po určitou dobu pokračovala v distribuci aktualizací se škodlivými změnami a neodvolala okamžitě certifikát použitý k digitálnímu podpisu svých produktů (problém nastal 13. prosince a certifikát byl zrušen 21. prosince ).
V reakci na stížnosti na výstražných systémech vydávaných systémy detekce malwaru, Zákazníkům se doporučovalo deaktivovat ověření odstraněním falešně pozitivních varování.
Před tím zástupci SolarWinds aktivně kritizovali vývojový model open source, porovnávali použití open source s požitím špinavé vidlice a uvedli, že otevřený vývojový model nevylučuje vzhled záložek a může poskytnout pouze proprietární model kontrolu nad kódem.
Americké ministerstvo spravedlnosti navíc zveřejnilo informace, které útočníci získali přístup k poštovnímu serveru ministerstva založený na platformě Microsoft Office 365. Předpokládá se, že útokem došlo k úniku obsahu poštovních schránek asi 3.000 XNUMX zaměstnanců ministerstva.
The New York Times a Reuters, bez podrobného popisu zdroje, oznámil vyšetřování FBI o možném propojení mezi JetBrains a zapojením SolarWinds. SolarWinds použil systém nepřetržité integrace TeamCity dodávaný společností JetBrains.
Předpokládá se, že útočníci mohli získat přístup kvůli nesprávnému nastavení nebo použití zastaralé verze TeamCity obsahující neopravené chyby zabezpečení.
Ředitel JetBrains zamítl spekulace o připojení společnosti s útokem a uvedli, že nebyli kontaktováni donucovacími orgány ani zástupci SolarWinds ohledně možného závazku TeamCity k infrastruktuře SolarWinds.
zdroj: https://msrc-blog.microsoft.com