Microsoft on avaldanud täiendavaid üksikasju rünnaku kohta mis kahjustas Ukraina infrastruktuuri SolarWinds mis juurutas SolarWinds Orioni võrguinfrastruktuuri haldamise platvormi tagaosa, mida kasutati Microsofti ettevõtte võrgus.
Juhtumi analüüs näitas seda ründajad said juurdepääsu mõnele Microsofti ettevõtte kontole ning auditi käigus selgus, et neid kontosid kasutati Microsofti tootekoodiga juurdepääsuks sisemistele hoidlatele.
Väidetavalt rikutud kontode õigused võimaldasid koodi ainult näha, kuid need ei võimaldanud muudatusi teha.
Microsoft on kinnitanud kasutajatele, et täiendav kontroll on kinnitanud, et hoidlas pole pahatahtlikke muudatusi tehtud.
Lisaks ei leitud jälgi ründajate juurdepääsust Microsofti kliendiandmetele, katsed ohustada pakutavaid teenuseid ja Microsofti infrastruktuuri kasutamist rünnakute korraldamiseks teistele ettevõtetele.
Alates rünnakust SolarWindsi vastu viis tagaukse kasutuselevõtuni mitte ainult Microsofti võrgus, vaid ka paljudes teistes ettevõtetes ja valitsusasutustes kasutades toodet SolarWinds Orion.
SolarWinds Orioni tagaukse värskendus on paigaldatud enam kui 17.000 XNUMX kliendi infrastruktuuri SolarWindsilt, sealhulgas 425 mõjutatud Fortune 500-st, samuti suuremad finantsasutused ja pangad, sajad ülikoolid, paljud USA sõjaväe ja Ühendkuningriigi diviisid, Valge Maja, NSA, USA välisministeerium USA ja Euroopa Parlament.
SolarWindsi klientide seas on ka suuremaid ettevõtteid nagu Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 ja Siemens.
Tagauks võimaldas kaugjuurdepääsu SolarWinds Orioni kasutajate sisevõrgule. Pahatahtlik muudatus tarniti koos 2019.4. aasta märtsist juunini välja antud SolarWinds Orioni versioonidega 2020.2.1 - 2020.
Intsidentide analüüsi käigus turvalisuse eiramine tekkis suurte korporatiivsete süsteemide pakkujate poolt. Eeldatakse, et juurdepääs SolarWindsi infrastruktuurile saadi Microsoft Office 365 konto kaudu.
Ründajad said juurdepääsu digitaalallkirjade genereerimiseks kasutatavale SAML-i sertifikaadile ja kasutasid seda sertifikaati uute märkide loomiseks, mis võimaldasid privilegeeritud juurdepääsu sisevõrgule.
Enne seda, 2019. aasta novembris, märkisid välised turvauurijad triviaalse parooli "SolarWind123" kasutamist kirjutusjuurdepääsu saamiseks FTP-serverisse koos SolarWindsi tootevärskendustega, samuti töötaja parooli lekkimist. SolarWindsi avalikust git-hoidlast.
Lisaks jätkas SolarWinds pärast tagaukse tuvastamist mõnda aega pahatahtlike muudatustega värskenduste levitamist ega tühistanud kohe toodete digitaalseks allkirjastamiseks kasutatavat sertifikaati (probleem tekkis 13. detsembril ja sertifikaat tühistati 21. detsembril. ).
Vastuseks kaebustele pahavara tuvastamise süsteemide väljastatud häiresüsteemide kohta, Kliente julgustati valepositiivsete hoiatuste eemaldamisega kontrollimine keelama.
Enne seda kritiseerisid SolarWindsi esindajad aktiivselt avatud lähtekoodiga arendusmudelit, võrreldes avatud lähtekoodiga kasutamist musta kahvli söömisega ja märkides, et avatud arendusmudel ei välista järjehoidjate ilmumist ja pakkuda saab ainult omandimudel kontroll koodi üle.
Lisaks avaldas USA justiitsministeerium teavet, mis ründajad said juurdepääsu ministeeriumi meiliserverile põhineb Microsoft Office 365 platvormil. Arvatakse, et rünnak lekitas umbes 3.000 ministeeriumi töötaja postkastide sisu.
The New York Times ja Reuters omalt poolt allikat täpsustamatateatas FBI uurimisest JetBrainsi ja SolarWindsi kaasamise võimaliku seose kohta. SolarWinds kasutas JetBrains'i tarnitud TeamCity pidevat integreerimissüsteemi.
Eeldatakse, et ründajad oleksid võinud juurdepääsu saada valede sätete või TeamCity'i vananenud versiooni, mis sisaldab parandamata haavatavusi, kasutamise tõttu.
JetBrainsi direktor lükkas spekulatsioonid ühenduse üle lahti rünnakust ja teatas, et õiguskaitseorganid ega SolarWindsi esindajad ei võtnud nendega ühendust TeamCity võimaliku kompromissi kohta SolarWindsi infrastruktuuris.
allikas: https://msrc-blog.microsoft.com