Microsoft hat zusätzliche Details veröffentlicht über den Angriff das gefährdete die Infrastruktur von SolarWinds Dies implementierte eine Hintertür auf der SolarWinds Orion-Plattform für das Netzwerkinfrastrukturmanagement, die im Unternehmensnetzwerk von Microsoft verwendet wurde.
Die Analyse des Vorfalls ergab, dass Die Angreifer erhielten Zugriff auf einige Microsoft-Unternehmenskonten Während des Audits wurde festgestellt, dass diese Konten für den Zugriff auf interne Repositorys mit Microsoft-Produktcode verwendet wurden.
Es wird behauptet, dass Die Rechte der gefährdeten Konten dürfen nur den Code sehen, aber sie boten nicht die Möglichkeit, Änderungen vorzunehmen.
Microsoft hat den Benutzern versichert, dass durch eine weitere Überprüfung bestätigt wurde, dass keine böswilligen Änderungen am Repository vorgenommen wurden.
Zusätzlich Es wurden keine Spuren des Zugriffs von Angreifern auf Microsoft-Kundendaten gefunden. Versuche, die bereitgestellten Dienste und die Nutzung der Microsoft-Infrastruktur für Angriffe auf andere Unternehmen zu gefährden.
Seit dem Angriff auf SolarWinds führte zur Einführung einer Hintertür nicht nur im Microsoft-Netzwerk, sondern auch in vielen anderen Unternehmen und Regierungsbehörden Verwenden des SolarWinds Orion-Produkts.
Das SolarWinds Orion Backdoor-Update wurde in der Infrastruktur von mehr als 17.000 Kunden installiert von SolarWinds, darunter 425 der betroffenen Fortune 500, sowie großen Finanzinstituten und Banken, Hunderten von Universitäten, vielen Abteilungen des US-Militärs und Großbritanniens, dem Weißen Haus, der NSA und dem US-Außenministerium USA und das Europäische Parlament.
Zu den Kunden von SolarWinds zählen auch große Unternehmen wie Cisco, AT & T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 und Siemens.
Die Hintertür Fernzugriff auf das interne Netzwerk von SolarWinds Orion-Benutzern zulässig. Die böswillige Änderung wurde mit SolarWinds Orion-Versionen 2019.4 - 2020.2.1 ausgeliefert, die von März bis Juni 2020 veröffentlicht wurden.
Während der Vorfallanalyse Die Missachtung der Sicherheit trat bei großen Anbietern von Unternehmenssystemen auf. Es wird davon ausgegangen, dass der Zugriff auf die SolarWinds-Infrastruktur über ein Microsoft Office 365-Konto erfolgt ist.
Die Angreifer erhielten Zugriff auf das SAML-Zertifikat, das zum Generieren digitaler Signaturen verwendet wurde, und verwendeten dieses Zertifikat, um neue Token zu generieren, die den privilegierten Zugriff auf das interne Netzwerk ermöglichten.
Zuvor, im November 2019, stellten externe Sicherheitsforscher die Verwendung des trivialen Kennworts "SolarWind123" für den Schreibzugriff auf den FTP-Server mit SolarWinds-Produktupdates sowie ein Leck des Kennworts eines Mitarbeiters fest. von SolarWinds im öffentlichen Git-Repository.
Nachdem die Hintertür identifiziert wurde, verteilte SolarWinds einige Zeit lang weiterhin Updates mit böswilligen Änderungen und widerrief das zum digitalen Signieren seiner Produkte verwendete Zertifikat nicht sofort (das Problem trat am 13. Dezember auf und das Zertifikat wurde am 21. Dezember widerrufen ).
Als Antwort auf Beschwerden zu den von Malware-Erkennungssystemen ausgegebenen Warnsystemen, Kunden wurden aufgefordert, die Überprüfung zu deaktivieren, indem falsch positive Warnungen entfernt wurden.
Zuvor kritisierten Vertreter von SolarWinds aktiv das Open-Source-Entwicklungsmodell, verglichen die Verwendung von Open Source mit dem Verzehr einer schmutzigen Gabel und stellten fest, dass ein offenes Entwicklungsmodell das Auftreten von Lesezeichen nicht ausschließt und nur ein proprietäres Modell bereitstellen kann Kontrolle über Code.
Darüber hinaus gab das US-Justizministerium Informationen bekannt, die Die Angreifer erhielten Zugang zum Mailserver des Ministeriums basierend auf der Microsoft Office 365-Plattform. Es wird angenommen, dass der Angriff den Inhalt der Postfächer von rund 3.000 Mitarbeitern des Ministeriums durchgesickert ist.
Die New York Times und Reuters ihrerseits ohne die Quelle anzugebenberichtete eine FBI-Untersuchung über eine mögliche Verbindung zwischen JetBrains und dem SolarWinds-Engagement. SolarWinds verwendete das kontinuierliche Integrationssystem TeamCity von JetBrains.
Es wird davon ausgegangen, dass die Angreifer aufgrund falscher Einstellungen oder der Verwendung einer veralteten Version von TeamCity mit nicht gepatchten Sicherheitslücken Zugriff erhalten haben könnten.
Der Direktor von JetBrains wies Spekulationen über eine Verbindung zurück des Unternehmens mit dem Angriff und gab an, dass sie nicht von Strafverfolgungsbehörden oder Vertretern von SolarWinds wegen eines möglichen Engagements von TeamCity für die SolarWinds-Infrastruktur kontaktiert wurden.
Quelle: https://msrc-blog.microsoft.com