Microsoft ha rilasciato ulteriori dettagli sull'attacco che ha compromesso l'infrastruttura di SolarWinds che ha implementato una backdoor sulla piattaforma di gestione dell'infrastruttura di rete SolarWinds Orion, utilizzata sulla rete aziendale di Microsoft.
L'analisi dell'incidente lo ha dimostrato gli aggressori hanno ottenuto l'accesso ad alcuni account aziendali Microsoft e durante l'audit, è stato rivelato che questi account sono stati utilizzati per accedere a repository interni con codice prodotto Microsoft.
Si sostiene che i diritti degli account compromessi consentivano solo di vedere il codice, ma non hanno fornito la possibilità di apportare modifiche.
Microsoft ha assicurato agli utenti che un'ulteriore verifica ha confermato che non sono state apportate modifiche dannose al repository.
Inoltre, non sono state trovate tracce dell'accesso degli aggressori ai dati dei clienti Microsoft, tenta di compromettere i servizi forniti e l'utilizzo dell'infrastruttura di Microsoft per effettuare attacchi ad altre società.
Dall'attacco a SolarWinds ha portato all'introduzione di una backdoor non solo sulla rete Microsoft, ma anche in molte altre società e agenzie governative utilizzando il prodotto SolarWinds Orion.
L'aggiornamento backdoor di SolarWinds Orion è stato installato nell'infrastruttura di oltre 17.000 clienti da SolarWinds, tra cui 425 delle Fortune 500 interessate, nonché le principali istituzioni finanziarie e banche, centinaia di università, molte divisioni delle forze armate statunitensi e del Regno Unito, la Casa Bianca, la NSA, il Dipartimento di Stato degli Stati Uniti USA e Parlamento europeo.
I clienti di SolarWinds includono anche grandi aziende come Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 e Siemens.
La backdoor ha consentito l'accesso remoto alla rete interna degli utenti di SolarWinds Orion. La modifica dannosa è stata fornita con SolarWinds Orion versioni 2019.4 - 2020.2.1 rilasciate da marzo a giugno 2020.
Durante l'analisi dell'incidente, il disprezzo per la sicurezza è emerso dai grandi fornitori di sistemi aziendali. Si presume che l'accesso all'infrastruttura SolarWinds sia stato ottenuto tramite un account Microsoft Office 365.
Gli aggressori hanno ottenuto l'accesso al certificato SAML utilizzato per generare firme digitali e hanno utilizzato questo certificato per generare nuovi token che consentivano l'accesso privilegiato alla rete interna.
In precedenza, nel novembre 2019, ricercatori di sicurezza esterni hanno notato l'uso della banale password "SolarWind123" per l'accesso in scrittura al server FTP con gli aggiornamenti del prodotto SolarWinds, nonché una perdita della password di un dipendente. da SolarWinds nel repository git pubblico.
Inoltre, dopo l'identificazione della backdoor, SolarWinds ha continuato a distribuire aggiornamenti con modifiche dannose per un po 'di tempo e non ha revocato immediatamente il certificato utilizzato per firmare digitalmente i suoi prodotti (il problema è emerso il 13 dicembre e il certificato è stato revocato il 21 dicembre ).
In risposta ai reclami sui sistemi di allerta emessi dai sistemi di rilevamento malware, I clienti sono stati incoraggiati a disabilitare la verifica rimuovendo gli avvisi di falsi positivi.
Prima di allora, i rappresentanti di SolarWinds hanno criticato attivamente il modello di sviluppo open source, confrontando l'uso dell'open source con il mangiare una forchetta sporca e affermando che un modello di sviluppo aperto non preclude la comparsa di segnalibri e solo un modello proprietario può fornire controllo sul codice.
Inoltre, il Dipartimento di Giustizia degli Stati Uniti ha divulgato informazioni che gli aggressori hanno ottenuto l'accesso al server di posta del ministero basato sulla piattaforma Microsoft Office 365. Si ritiene che l'attacco abbia fatto trapelare il contenuto delle caselle di posta di circa 3.000 dipendenti del ministero.
Da parte loro, il New York Times e Reuters, senza dettagliare la fonte, ha riportato un'indagine dell'FBI su un possibile collegamento tra JetBrains e il coinvolgimento di SolarWinds. SolarWinds ha utilizzato il sistema di integrazione continua TeamCity fornito da JetBrains.
Si presume che gli aggressori possano aver ottenuto l'accesso a causa di impostazioni errate o dell'uso di una versione obsoleta di TeamCity contenente vulnerabilità prive di patch.
Il direttore di JetBrains ha respinto le speculazioni sulla connessione dell'azienda con l'attacco e ha indicato di non essere stato contattato dalle forze dell'ordine o dai rappresentanti di SolarWinds in merito a un possibile impegno da parte di TeamCity per l'infrastruttura di SolarWinds.
fonte: https://msrc-blog.microsoft.com