Microsoft telah merilis detail tambahan tentang serangan itu yang membahayakan infrastruktur SuryaAngin yang menerapkan pintu belakang pada platform manajemen infrastruktur jaringan SolarWinds Orion, yang digunakan pada jaringan perusahaan Microsoft.
Analisis kejadian menunjukkan itu penyerang memperoleh akses ke beberapa akun perusahaan Microsoft dan selama audit, terungkap bahwa akun ini digunakan untuk mengakses repositori internal dengan kode produk Microsoft.
Dugaan itu hak akun yang disusupi hanya diizinkan untuk melihat kode, tetapi mereka tidak memberikan kemampuan untuk melakukan perubahan.
Microsoft telah meyakinkan pengguna bahwa verifikasi lebih lanjut telah mengkonfirmasi bahwa tidak ada perubahan berbahaya yang telah dibuat pada repositori.
Selain itu, tidak ditemukan jejak akses penyerang ke data pelanggan Microsoft, upaya untuk mengkompromikan layanan yang disediakan dan penggunaan infrastruktur Microsoft untuk melakukan serangan terhadap perusahaan lain.
Sejak serangan di SolarWinds menyebabkan pengenalan pintu belakang tidak hanya di jaringan Microsoft, tetapi juga di banyak perusahaan dan instansi pemerintah lainnya menggunakan produk SolarWinds Orion.
Pembaruan pintu belakang SolarWinds Orion telah dipasang di infrastruktur lebih dari 17.000 pelanggan dari SolarWinds, termasuk 425 perusahaan Fortune 500 yang terkena dampak, serta lembaga keuangan dan bank besar, ratusan universitas, banyak divisi dari militer AS dan Inggris, Gedung Putih, NSA, Departemen Luar Negeri AS, AS, dan Parlemen Eropa .
Pelanggan SolarWinds juga termasuk perusahaan besar seperti Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 dan Siemens.
Pintu belakang mengizinkan akses jarak jauh ke jaringan internal pengguna SolarWinds Orion. Perubahan berbahaya dikirimkan dengan SolarWinds Orion versi 2019.4 - 2020.2.1 dirilis dari Maret hingga Juni 2020.
Selama analisis insiden, mengabaikan keamanan muncul dari penyedia sistem perusahaan besar. Diasumsikan bahwa akses ke infrastruktur SolarWinds diperoleh melalui akun Microsoft Office 365.
Penyerang memperoleh akses ke sertifikat SAML yang digunakan untuk membuat tanda tangan digital dan menggunakan sertifikat ini untuk membuat token baru yang memungkinkan akses istimewa ke jaringan internal.
Sebelumnya, pada November 2019, peneliti keamanan luar mencatat penggunaan sandi sepele "SolarWind123" untuk akses tulis ke server FTP dengan pembaruan produk SolarWinds, serta kebocoran sandi salah satu karyawan. Dari SolarWinds di repositori git publik.
Selain itu, setelah pintu belakang diidentifikasi, SolarWinds terus mendistribusikan pembaruan dengan perubahan berbahaya selama beberapa waktu dan tidak segera mencabut sertifikat yang digunakan untuk menandatangani produknya secara digital (masalah muncul pada 13 Desember dan sertifikat dicabut pada 21 Desember).
Menanggapi keluhan pada sistem peringatan yang dikeluarkan oleh sistem deteksi malware, Pelanggan didorong untuk menonaktifkan verifikasi dengan menghapus peringatan positif palsu.
Sebelumnya, perwakilan SolarWinds secara aktif mengkritik model pengembangan open source, membandingkan penggunaan open source dengan memakan garpu kotor dan menyatakan bahwa model pengembangan terbuka tidak menghalangi munculnya bookmark dan hanya model berpemilik yang dapat memberikan kontrol atas kode.
Selain itu, Departemen Kehakiman AS mengungkapkan informasi itu para penyerang memperoleh akses ke server surat Kementerian didasarkan pada platform Microsoft Office 365. Serangan tersebut diyakini telah membocorkan konten kotak surat dari sekitar 3.000 karyawan Kementerian.
Untuk bagian mereka, The New York Times dan Reuters, tanpa merinci sumbernya, melaporkan investigasi FBI tentang kemungkinan hubungan antara JetBrains dan keterlibatan SolarWinds. SolarWinds menggunakan sistem integrasi berkelanjutan TeamCity yang disediakan oleh JetBrains.
Diasumsikan bahwa penyerang dapat memperoleh akses karena pengaturan yang salah atau penggunaan versi TeamCity yang kedaluwarsa yang mengandung kerentanan yang belum ditambal.
Direktur JetBrains menepis spekulasi tentang koneksi perusahaan dengan serangan tersebut dan mengindikasikan bahwa mereka tidak dihubungi oleh lembaga penegak hukum atau perwakilan SolarWinds tentang kemungkinan komitmen oleh TeamCity untuk infrastruktur SolarWinds.
sumber: https://msrc-blog.microsoft.com