Les attaquants de SolarWinds ont réussi à accéder au code Microsoft

Microsoft a publié des détails supplémentaires à propos de l'attaque qui a compromis l'infrastructure de SolarWinds qui a implémenté une porte dérobée sur la plate-forme de gestion de l'infrastructure réseau SolarWinds Orion, qui a été utilisée sur le réseau d'entreprise de Microsoft.

L'analyse de l'incident a montré que les attaquants ont eu accès à certains comptes d'entreprise Microsoft et au cours de l'audit, il a été révélé que ces comptes étaient utilisés pour accéder aux référentiels internes avec le code produit Microsoft.

Il est allégué que les droits des comptes compromis permettent uniquement de voir le code, mais ils ne permettaient pas d'apporter des modifications.

Microsoft a assuré aux utilisateurs qu'une vérification supplémentaire avait confirmé qu'aucune modification malveillante n'avait été apportée au référentiel.

En outre, aucune trace d'accès des attaquants aux données clients Microsoft n'a été trouvée, tente de compromettre les services fournis et l'utilisation de l'infrastructure de Microsoft pour mener des attaques contre d'autres entreprises.

Depuis l'attaque de SolarWinds conduit à l'introduction d'une porte dérobée non seulement sur le réseau Microsoft, mais également dans de nombreuses autres entreprises et agences gouvernementales en utilisant le produit SolarWinds Orion.

La mise à jour de la porte dérobée SolarWinds Orion a été installé dans l'infrastructure de plus de 17.000 XNUMX clients de SolarWinds, dont 425 des Fortune 500 concernés, ainsi que de grandes institutions financières et banques, des centaines d'universités, de nombreuses divisions de l'armée américaine et du Royaume-Uni, la Maison Blanche, la NSA, le Département d'État américain États-Unis et Parlement européen.

Les clients de SolarWinds comprennent également de grandes entreprises tels que Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 et Siemens.

La porte de derrière autorisé l'accès à distance au réseau interne des utilisateurs de SolarWinds Orion. Le changement malveillant a été livré avec les versions SolarWinds Orion 2019.4 - 2020.2.1 publiées de mars à juin 2020.

Lors de l'analyse d'incident, le mépris de la sécurité a émergé des grands fournisseurs de systèmes d'entreprise. On suppose que l'accès à l'infrastructure SolarWinds a été obtenu via un compte Microsoft Office 365.

Les attaquants ont eu accès au certificat SAML utilisé pour générer des signatures numériques et ont utilisé ce certificat pour générer de nouveaux jetons qui permettaient un accès privilégié au réseau interne.

Auparavant, en novembre 2019, des chercheurs en sécurité externes avaient noté l'utilisation du mot de passe trivial «SolarWind123» pour l'accès en écriture au serveur FTP avec les mises à jour du produit SolarWinds, ainsi que la fuite du mot de passe de l'un des employés. à partir de SolarWinds dans le référentiel git public.

De plus, après l'identification de la porte dérobée, SolarWinds a continué à distribuer des mises à jour contenant des modifications malveillantes pendant un certain temps et n'a pas immédiatement révoqué le certificat utilisé pour signer numériquement ses produits (le problème est survenu le 13 décembre et le certificat a été révoqué le 21 décembre. ).

En réponse aux plaintes sur les systèmes d'alerte émis par les systèmes de détection de malwares, Les clients ont été encouragés à désactiver la vérification en supprimant les faux avertissements positifs.

Auparavant, les représentants de SolarWinds critiquaient activement le modèle de développement open source, comparant l'utilisation de l'open source à manger une fourchette sale et déclarant qu'un modèle de développement ouvert n'empêchait pas l'apparition de signets et que seul un modèle propriétaire peut fournir contrôle du code.

En outre, le ministère américain de la Justice a divulgué des informations selon lesquelles les attaquants ont eu accès au serveur de messagerie du ministère basé sur la plate-forme Microsoft Office 365. L'attaque aurait divulgué le contenu des boîtes aux lettres de quelque 3.000 XNUMX employés du ministère.

De leur côté, le New York Times et Reuters, sans détailler la source, a rapporté une enquête du FBI sur un lien possible entre JetBrains et l'engagement SolarWinds. SolarWinds a utilisé le système d'intégration continue TeamCity fourni par JetBrains.

On suppose que les attaquants pourraient avoir obtenu l'accès en raison de paramètres incorrects ou de l'utilisation d'une version obsolète de TeamCity contenant des vulnérabilités non corrigées.

Le directeur de JetBrains a rejeté les spéculations sur la connexion de la société avec l'attaque et a indiqué qu'ils n'avaient pas été contactés par les forces de l'ordre ou les représentants de SolarWinds au sujet d'un éventuel engagement de TeamCity envers l'infrastructure SolarWinds.

source: https://msrc-blog.microsoft.com


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.