A Microsoft további részleteket tett közzé a támadásról ami veszélyeztette a SolarWinds amely egy hátsó ajtót valósított meg a SolarWinds Orion hálózati infrastruktúra-kezelő platformon, amelyet a Microsoft vállalati hálózatán használtak.
Az eset elemzése azt mutatta a támadók hozzáférést kaptak néhány Microsoft vállalati fiókhoz és az ellenőrzés során kiderült, hogy ezeket a fiókokat használták fel a belső tárakhoz a Microsoft termékkódjával.
Állítólag az a megsértett fiókok jogai csak a kód megtekintését tették lehetővé, de nem biztosították a változtatások lehetőségét.
A Microsoft biztosította a felhasználókat, hogy a további ellenőrzés megerősítette, hogy nem történt rosszindulatú módosítás a tárban.
Ezen túlmenően, nem találták a támadók hozzáférését a Microsoft ügyféladataihoz, megkísérli veszélyeztetni a nyújtott szolgáltatásokat és a Microsoft infrastruktúrájának használatát más vállalatok elleni támadások végrehajtására.
A SolarWinds elleni támadás óta egy hátsó ajtó bevezetéséhez vezetett nemcsak a Microsoft hálózatán, hanem sok más vállalatnál és kormányzati ügynökségnél is a SolarWinds Orion termék használatával.
A SolarWinds Orion hátsó ajtó frissítése több mint 17.000 XNUMX ügyfél infrastruktúrájába telepítették a SolarWinds-től, köztük az érintett Fortune 425-ból 500, valamint a főbb pénzügyi intézmények és bankok, egyetemek százai, az amerikai hadsereg és az Egyesült Királyság számos részlege, a Fehér Ház, az NSA, az Egyesült Államok Külügyminisztériuma USA és az Európai Parlament.
A SolarWinds ügyfelei között vannak nagyobb cégek is mint például a Cisco, az AT&T, az Ericsson, a NEC, a Lucent, a MasterCard, a Visa USA, a 3. szint és a Siemens.
A hátsó ajtó távoli hozzáférést engedélyezett a SolarWinds Orion felhasználók belső hálózatához. A rosszindulatú változást a SolarWinds Orion 2019.4 - 2020.2.1 verzióival szállították, amelyek 2020 márciusától júniusig jelentek meg.
Az incidens elemzése során a biztonság figyelmen kívül hagyása a nagyvállalati rendszerek szolgáltatóinál jelentkezett. Feltételezzük, hogy a SolarWinds infrastruktúrához való hozzáférést Microsoft Office 365-fiókkal szerezték meg.
A támadók hozzáférést kaptak a digitális aláírások előállításához használt SAML-tanúsítványhoz, és ezzel a tanúsítvánnyal új tokenek generáltak, amelyek privilegizált hozzáférést tettek lehetővé a belső hálózathoz.
Ezt megelőzően, 2019 novemberében, a külső biztonsági kutatók megjegyezték a triviális "SolarWind123" jelszó használatát az FTP-kiszolgáló írási hozzáféréséhez a SolarWinds termékfrissítésekkel, valamint az alkalmazott jelszavának szivárgását. a SolarWinds-től a nyilvános git-tárban.
Ezenkívül a hátsó ajtó azonosítása után a SolarWinds egy ideig rosszindulatú változtatásokkal terjesztette a frissítéseket, és nem vonta vissza azonnal a termékeinek digitális aláírásához használt tanúsítványt (a probléma december 13-án merült fel, és a tanúsítványt december 21-én visszavonták) ).
Válaszként a panaszokra a rosszindulatú programokat észlelő rendszerek által kiadott riasztórendszerekről, Az ügyfeleket arra bíztatták, hogy a hamis pozitív figyelmeztetések eltávolításával tiltsák le az ellenőrzést.
Előtte a SolarWinds képviselői aktívan bírálták a nyílt forráskódú fejlesztési modellt, összehasonlítva a nyílt forráskód használatát a piszkos villa elfogyasztásával, és kijelentve, hogy a nyílt fejlesztési modell nem zárja ki a könyvjelzők megjelenését, és csak egy saját modell biztosíthatja a kód ellenőrzése.
Ezenkívül az Egyesült Államok Igazságügyi Minisztériuma olyan információkat közölt, amelyek a támadók hozzáférést kaptak a minisztérium mail szerveréhez a Microsoft Office 365 platformon alapul. A támadás vélhetően kiszivárogtatta mintegy 3.000 minisztériumi alkalmazott postaládáinak tartalmát.
A maguk részéről a The New York Times és a Reuters, a forrás részletezése nélkül, beszámolt egy FBI-vizsgálatról a JetBrains és a SolarWinds elkötelezettség közötti lehetséges kapcsolatról. A SolarWinds a TeamCity folyamatos integrációs rendszert használta, amelyet a JetBrains szállított.
Feltételezzük, hogy a támadók hozzáférést kaphattak helytelen beállítások vagy a TeamCity elavult, nem javított biztonsági réseket tartalmazó verziójának használata miatt.
A JetBrains igazgatója elutasította a kapcsolattal kapcsolatos találgatásokat a támadással küzdő vállalat részéről, és jelezte, hogy a bűnüldöző szervek vagy a SolarWinds képviselői nem keresték meg őket a TeamCity esetleges elkötelezettségéről a SolarWinds infrastruktúra iránt.
forrás: https://msrc-blog.microsoft.com