SolarWindsの攻撃者は、なんとかMicrosoftコードにアクセスできました

Darkcrizt

4分

マイクロソフトは追加の詳細をリリースしました 攻撃について のインフラストラクチャを危険にさらした SolarWinds これは、Microsoftの企業ネットワークで使用されていたSolarWindsOrionネットワークインフラストラクチャ管理プラットフォームにバックドアを実装しました。

事件の分析は 攻撃者は一部のMicrosoft企業アカウントにアクセスできました 監査中に、これらのアカウントがMicrosoft製品コードを使用して内部リポジトリにアクセスするために使用されたことが明らかになりました。

それは主張されている 侵害されたアカウントの権利は、コードの表示のみを許可されています、しかしそれらは変更を加える能力を提供しませんでした。

Microsoftは、リポジトリに悪意のある変更が加えられていないことをさらに検証して確認したことをユーザーに保証しました。

さらに、 攻撃者によるMicrosoftの顧客データへのアクセスの痕跡は見つかりませんでした。 提供されるサービスと、他社の攻撃を実行するためのMicrosoftのインフラストラクチャの使用を危険にさらそうとします。

SolarWindsへの攻撃以来 バックドアの導入につながった マイクロソフトネットワークだけでなく、 他の多くの企業や政府機関でも SolarWindsOrion製品を使用します。

SolarWindsOrionバックドアアップデート 17.000を超えるクライアントのインフラストラクチャにインストールされています 影響を受けたフォーチュン425の500を含むソーラーウィンズ、主要な金融機関や銀行、数百の大学、米軍と英国の多くの部門、ホワイトハウス、NSA、米国国務省からアメリカとヨーロッパ議会。

SolarWindsの顧客には主要企業も含まれます Cisco、AT&T、Ericsson、NEC、Lucent、MasterCard、Visa USA、レベル3、Siemensなど。

バックドア SolarWindsOrionユーザーの内部ネットワークへのリモートアクセスを許可。 悪意のある変更は、2019.4年2020.2.1月から2020月にリリースされたSolarWindsOrionバージョンXNUMX-XNUMXで出荷されました。

インシデント分析中、 大企業のシステムプロバイダーから出てきたセキュリティの無視。 SolarWindsインフラストラクチャへのアクセスは、Microsoft Office365アカウントを介して取得されたと想定されています。

攻撃者は、デジタル署名の生成に使用されるSAML証明書にアクセスし、この証明書を使用して、内部ネットワークへの特権アクセスを許可する新しいトークンを生成しました。

これに先立ち、2019年123月、外部のセキュリティ研究者は、SolarWinds製品のアップデートを使用したFTPサーバーへの書き込みアクセスに簡単なパスワード「SolarWindXNUMX」を使用したこと、および従業員のパスワードが漏洩したことを指摘しました。パブリックgitリポジトリのSolarWindsから。

さらに、バックドアが特定された後、SolarWindsはしばらくの間、悪意のある変更を含む更新を配布し続け、製品のデジタル署名に使用された証明書をすぐに取り消すことはありませんでした(問題は13月21日に発生し、証明書はXNUMX月XNUMX日に取り消されました) )。

苦情に応えて マルウェア検出システムによって発行されたアラートシステムでは、 誤検知の警告を削除して、検証を無効にすることをお勧めします。

それ以前は、SolarWindsの代表者はオープンソース開発モデルを積極的に批判し、オープンソースの使用を汚れたフォークを食べることと比較し、オープン開発モデルはブックマークの出現を排除せず、独自のモデルのみが提供できると述べましたコードの制御。

さらに、米国司法省は次のような情報を開示しました 攻撃者は省のメールサーバーにアクセスできました Microsoft Office 365プラットフォームに基づいています。この攻撃により、約3.000人の省職員のメールボックスの内容が漏洩したと考えられています。

彼らの側では、ニューヨークタイムズアンドロイターズ、 ソースの詳細なし、FBI調査を報告しました JetBrainsとSolarWindsエンゲージメントの間の可能なリンクについて。 SolarWindsは、JetBrainsが提供するTeamCity連続統合システムを使用しました。

誤った設定またはパッチが適用されていない脆弱性を含む古いバージョンのTeamCityの使用により、攻撃者がアクセスを取得した可能性があると想定されます。

JetBrainsディレクターは、接続に関する推測を却下しました 攻撃を受けた会社の

出典 https://msrc-blog.microsoft.com


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。