SolarWinds Ugräifer hunn et fäerdeg bruecht Zougang zu Microsoft Code ze kréien

Microsoft huet zousätzlech Detailer verëffentlecht iwwer den Ugrëff déi d'Infrastruktur vu SolarWinds déi e Backdoor op der SolarWinds Orion Netzwierkinfrastrukturmanagement Plattform implementéiert huet, déi am Microsoft Firmenetz benotzt gouf.

Analyse vum Virfall huet gewisen datt Ugräifer kruten Zougang zu e puer Microsoft Firmekonten a wärend dem Audit gouf verroden datt dës Konten benotzt goufen fir intern Repositories mam Microsoft Produktcode ze kréien.

Et gëtt behaapt datt d'Rechter vun de kompromittéierte Konten erlaabt nëmmen de Code ze gesinn, awer si hunn net d'Fäegkeet geliwwert Ännerungen ze maachen.

Microsoft huet Benotzer verséchert datt weider Verifikatioun bestätegt huet datt keng béisaarteg Ännerungen am Repository gemaach goufen.

Och, keng Spure vum Ugräifer Zougang zu Microsoft Client Daten fonnt, versicht déi ugebuede Servicer ze kompromittéieren an d'Benotzung vun der Microsoft Infrastruktur fir Attacken op aner Firmen auszeféieren.

Zënter dem Attack op SolarWinds huet zu der Aféierung vun enger Hannerdier gefouert net nëmmen am Microsoft Netzwierk, awer och a villen anere Firmen a Regierungsagenturen mam SolarWinds Orion Produkt.

De SolarWinds Orion Backdoor Update gouf an der Infrastruktur vu méi wéi 17.000 Clienten installéiert vu SolarWinds, abegraff 425 vun de betraffene Fortune 500 Firmen, souwéi grouss finanziell Institutiounen a Banken, Honnerte vun Universitéiten, vill Divisioune vum US Militär a Groussbritannien, dem Wäissen Haus, NSA, US Department of State USA an dem Europäesche Parlament .

SolarWinds Clienten enthalen och grouss Firmen wéi Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 a Siemens.

D'Hannerdier erlaabt Fernzugriff zum internen Netzwierk vu SolarWinds Orion Benotzer. Déi béiswëlleg Ännerung gouf mat SolarWinds Orion Versiounen 2019.4 - 2020.2.1 ausgeliwwert vu Mäerz bis Juni 2020 ausgeliwwert.

Wärend der Tëschefallanalyse, Verontreiung vu Sécherheet ass vu grousse Firmen Systemanbieter entstanen. Et gëtt ugeholl datt Zougang zu der SolarWinds Infrastruktur duerch e Microsoft Office 365 Kont kritt gouf.

D'Ugräifer hunn Zougang zum SAML Zertifika kritt fir digital Ënnerschrëften ze generéieren an hunn dësen Zertifika benotzt fir nei Token ze generéieren déi privilegiéierten Zougang zum internen Netz hunn.

Virun dësem, am November 2019, hunn ausserhalb Sécherheetsfuerscher d'Benotzung vum triviale Passwuert "SolarWind123" fir de Schreifzugriff zum FTP Server mat SolarWinds Produktupdates notéiert, souwéi de Fuite vun engem Passwuert vun de Mataarbechter. Vu SolarWinds an der ëffentleche Gitt Repository.

Zousätzlech, nodeems d'Backdoordoor identifizéiert gouf, huet SolarWinds weider Aktualiséierunge mat béiswännege Verännerunge fir eng Zäit verdeelt an huet net direkt de Certificat zréckgezunn, dee benotzt gouf fir seng Produkter digital z'ënnerschreiwen (d'Thema ass den 13. Dezember opgestan an de Certificat gouf den 21. Dezember zréckgezunn).

Als Äntwert op Reklamatiounen iwwer d'Alarmsystemer déi vu Malware Detektiounssystemer erausginn sinn, Clienten goufen encouragéiert d'Verifikatioun auszeschalten andeems falsch positiv Warnungen ewechgeholl goufen.

Virdru kruten d'SolarWinds Vertrieder aktiv den Open Source Entwécklungsmodell kritiséiert, vergläicht d'Benotzung vun Open Source fir eng dreckeg Gabel ze iessen an ze soen datt en oppent Entwécklungsmodell d'Erscheinung vu Lieszeechen net ausschléisst an nëmmen e propriétaire Modell kann d'Kontroll iwwer Code bidden.

Zousätzlech huet de US Department of Justice Informatioun verëffentlecht déi d'Attacker hunn Zougang zum Ministeschmailserver kritt baséiert op der Microsoft Office 365 Plattform. D'Attack gëtt ugeholl datt den Inhalt vun de Bréifkëschte vun e puer 3.000 Mataarbechter vum Ministère duerchgesat gouf.

Fir hiren Deel, The New York Times a Reuters, ouni detailléiert d'Quell, bericht eng FBI Enquête op eng méiglech Verbindung tëscht JetBrains an dem SolarWinds Engagement. SolarWinds benotzt den TeamCity kontinuéierlech Integratiounssystem geliwwert vu JetBrains.

Et gëtt ugeholl datt d'Ugräifer Zougang kéinte kréien duerch falsch Astellungen oder d'Benotzung vun enger vereelzter Versioun vun TeamCity déi net gepackte Schwachstelle enthält.

JetBrains Direkter entlooss Spekulatiounen iwwer Verbindung vun der Firma mam Ugrëff an uginn datt se net vun de Gesetzesvollzuchsagenturen oder de SolarWinds Vertrieder iwwer e méiglecht Engagement vu TeamCity fir d'SolarWinds Infrastruktur kontaktéiert goufen.

Source: https://msrc-blog.microsoft.com


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.