Microsoft on julkaissut lisätietoja hyökkäyksestä joka vaarantaa EU: n infrastruktuurin SolarWinds joka otti käyttöön takaoven SolarWinds Orion -verkkoinfrastruktuurin hallintajärjestelmällä, jota käytettiin Microsoftin yritysverkossa.
Tapahtuman analyysi osoitti sen hyökkääjät saivat pääsyn joihinkin Microsoftin yritystileihin ja tarkastuksen aikana paljastettiin, että näitä tilejä käytettiin pääsyyn sisäisiin arkistoihin Microsoftin tuotekoodilla.
Sen väitetään vaarantuneiden tilien oikeudet saivat vain nähdä koodin, mutta ne eivät antaneet mahdollisuutta tehdä muutoksia.
Microsoft on vakuuttanut käyttäjille, että lisätarkastus on vahvistanut, että arkistoon ei ole tehty haitallisia muutoksia.
Lisäksi, hyökkääjien pääsystä Microsoftin asiakastietoihin ei löytynyt jälkiä, yrittää vaarantaa tarjotut palvelut ja Microsoftin infrastruktuurin käytön hyökätä muihin yrityksiin.
SolarWinds-hyökkäyksen jälkeen johti takaoven käyttöönottoon ei vain Microsoft-verkossa, vaan myös monissa muissa yrityksissä ja valtion virastoissa käyttämällä SolarWinds Orion -tuotetta.
SolarWinds Orionin takaoven päivitys on asennettu yli 17.000 XNUMX asiakkaan infrastruktuuriin SolarWindsilta, mukaan lukien 425 Fortune 500 -yritystä, suuret rahoituslaitokset ja pankit, sadat yliopistot, monet Yhdysvaltain armeijan ja Ison-Britannian osastot, Valkoinen talo, NSA, Yhdysvaltain ulkoministeriö USA ja Euroopan parlamentti.
SolarWindsin asiakkaita ovat myös suuret yritykset kuten Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 ja Siemens.
Takaovi sallinut etäkäytön SolarWinds Orion -käyttäjien sisäiseen verkkoon. Haitallinen muutos toimitettiin SolarWinds Orion -versioiden 2019.4 - 2020.2.1 kanssa, jotka julkaistiin maaliskuusta kesäkuuhun 2020.
Tapahtuma-analyysin aikana turvallisuuden piittaamattomuus johtui suurten yritysjärjestelmien tarjoajista. Oletetaan, että pääsy SolarWinds-infrastruktuuriin saatiin Microsoft Office 365 -tilin kautta.
Hyökkääjät saivat pääsyn SAML-varmenteeseen, jota käytettiin digitaalisten allekirjoitusten luomiseen, ja käyttivät tätä sertifikaattia uusien tunnusten luomiseen, jotka mahdollistivat etuoikeutetun pääsyn sisäiseen verkkoon.
Ennen tätä, marraskuussa 2019, ulkopuoliset tietoturvatutkijat havaitsivat triviaalin salasanan "SolarWind123" käytön kirjoittamisoikeuksiin FTP-palvelimelle SolarWinds-tuotepäivitysten kanssa sekä työntekijän salasanan vuotamisen. SolarWindsin julkisesta git-arkistosta.
Lisäksi takaoven tunnistamisen jälkeen SolarWinds jatkoi päivitysten jakelua haitallisten muutosten kanssa jonkin aikaa eikä peruuttanut välittömästi tuotteidensa digitaaliseen allekirjoittamiseen käytettyä varmentetta (ongelma ilmeni 13. joulukuuta ja varmenne peruutettiin 21. joulukuuta. ).
Vastauksena valituksiin haittaohjelmien havaitsemisjärjestelmien lähettämistä hälytysjärjestelmistä, Asiakkaita kannustettiin poistamaan vahvistus käytöstä poistamalla väärät positiiviset varoitukset.
Sitä ennen SolarWindsin edustajat kritisoivat aktiivisesti avoimen lähdekoodin kehitysmallia, verraten avoimen lähdekoodin käyttöä likainen haarukan syömiseen ja toteamalla, että avoin kehitysmalli ei estä kirjanmerkkien esiintymistä ja vain oma malli voi tarjota hallita koodia.
Lisäksi Yhdysvaltain oikeusministeriö paljasti tietoja, jotka hyökkääjät saivat pääsyn ministeriön sähköpostipalvelimeen perustuu Microsoft Office 365 -alustaan. Hyökkäyksen uskotaan vuotaneen noin 3.000 ministeriön työntekijän postilaatikoiden sisällön.
The New York Times ja Reuters puolestaan ilmoittamatta lähdettä, ilmoitti FBI: n tutkinnasta mahdollisesta linkistä JetBrainsin ja SolarWinds-yhteyden välillä. SolarWinds käytti JetBrainsin toimittamaa jatkuvaa TeamCity-integraatiojärjestelmää.
Oletetaan, että hyökkääjät voisivat saada pääsyn virheellisten asetusten tai TeamCityn vanhentuneen version käytöstä, joka sisältää korjaamattomia haavoittuvuuksia.
JetBrainsin johtaja hylkäsi yhteydenpidon spekulaatiot hyökkäyksestä ja ilmoitti, etteivät lainvalvontaviranomaiset tai SolarWindsin edustajat ottaneet heihin yhteyttä TeamCityn mahdollisesta sitoutumisesta SolarWindsin infrastruktuuriin.
lähde: https://msrc-blog.microsoft.com