Microsoft har frigivet yderligere detaljer om angrebet der kompromitterede infrastrukturen i SolarWinds som implementerede en bagdør på SolarWinds Orion-netværksinfrastrukturadministrationsplatformen, som blev brugt på Microsofts virksomhedsnetværk.
Analyse af hændelsen viste det angribere fik adgang til nogle Microsoft-virksomhedskonti og under revisionen blev det afsløret, at disse konti blev brugt til at få adgang til interne opbevaringssteder med Microsofts produktkode.
Det hævdes, at rettighederne til de kompromitterede konti kun tilladt at se koden, men de gav ikke mulighed for at foretage ændringer.
Microsoft har forsikret brugerne om, at yderligere bekræftelse har bekræftet, at der ikke er foretaget ondsindede ændringer i lageret.
Derudover der blev ikke fundet spor af angribers adgang til Microsoft kundedata, forsøger at kompromittere de leverede tjenester og brugen af Microsofts infrastruktur til at udføre angreb på andre virksomheder.
Siden angrebet på SolarWinds førte til indførelsen af en bagdør ikke kun på Microsoft-netværket, men også i mange andre virksomheder og offentlige organer ved hjælp af SolarWinds Orion-produktet.
SolarWinds Orion bagdør opdatering er installeret i mere end 17.000 klienters infrastruktur fra SolarWinds, herunder 425 af de berørte Fortune 500-virksomheder samt større finansielle institutioner og banker, hundreder af universiteter, mange divisioner fra det amerikanske militær og Storbritannien, Det Hvide Hus, NSA, US Department of State USA og Europa-Parlamentet.
SolarWinds kunder inkluderer også større virksomheder såsom Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, niveau 3 og Siemens.
Bagdøren tilladt fjernadgang til det interne netværk af SolarWinds Orion-brugere. Den ondsindede ændring blev leveret med SolarWinds Orion-versionerne 2019.4 - 2020.2.1 udgivet fra marts til juni 2020.
Under hændelsesanalysen tilsidesættelse af sikkerhed opstod fra store virksomhedssystemudbydere. Det antages, at adgang til SolarWinds-infrastrukturen blev opnået via en Microsoft Office 365-konto.
Angriberne fik adgang til SAML-certifikatet, der blev brugt til at generere digitale signaturer, og brugte dette certifikat til at generere nye tokens, der tillod privilegeret adgang til det interne netværk.
Forud for dette bemærkede eksterne sikkerhedsforskere i november 2019 brugen af den trivielle adgangskode "SolarWind123" til skriveadgang til FTP-serveren med SolarWinds-produktopdateringer samt lækage af en af medarbejdernes adgangskode. fra SolarWinds i det offentlige git-arkiv.
Derudover, efter at bagdøren blev identificeret, fortsatte SolarWinds med at distribuere opdateringer med ondsindede ændringer i nogen tid og tilbagekaldte ikke straks det certifikat, der blev brugt til digital signering af sine produkter (problemet opstod den 13. december, og certifikatet blev tilbagekaldt den 21. december ).
Som svar på klager på alarmsystemer udstedt af malware-detektionssystemer, Kunder blev opfordret til at deaktivere verifikation ved at fjerne falske positive advarsler.
Forud for dette kritiserede SolarWinds-repræsentanter aktivt open source-udviklingsmodellen og sammenlignede brugen af open source med at spise en snavset gaffel og sagde, at en åben udviklingsmodel ikke udelukker udseendet af bogmærker, og kun en proprietær model kan levere kontrol over kode.
Derudover afslørede det amerikanske justitsministerium oplysninger om, at angriberne fik adgang til ministeriets mailserver baseret på Microsoft Office 365-platformen. Angrebet antages at have lækket indholdet af postkasserne til omkring 3.000 ministeriums medarbejdere.
For deres del The New York Times og Reuters, uden at specificere kilden, rapporterede en FBI-efterforskning om en mulig forbindelse mellem JetBrains og SolarWinds-engagementet. SolarWinds brugte TeamCity kontinuerligt integrationssystem leveret af JetBrains.
Det antages, at angriberne kunne have fået adgang på grund af forkerte indstillinger eller brugen af en forældet version af TeamCity, der indeholder ikke-patchede sårbarheder.
JetBrains-direktør afviste spekulationer om forbindelse af virksomheden med angrebet og indikerede, at de ikke blev kontaktet af retshåndhævende myndigheder eller SolarWinds-repræsentanter om en mulig forpligtelse fra TeamCity til SolarWinds-infrastruktur.
kilde: https://msrc-blog.microsoft.com