„Microsoft“ paskelbė papildomą informaciją apie ataką kad pakenkė ES infrastruktūrai SolarWinds kuri įdiegė „SolarWinds Orion“ tinklo infrastruktūros valdymo platformos užpakalinę dalį, kuri buvo naudojama „Microsoft“ korporatyviniame tinkle.
Įvykio analizė parodė užpuolikai gavo prieigą prie kai kurių „Microsoft“ įmonių sąskaitų ir audito metu paaiškėjo, kad šios paskyros buvo naudojamos norint pasiekti vidines saugyklas su „Microsoft“ produkto kodu.
Teigiama, kad pažeistų paskyrų teisės leido pamatyti tik kodą, tačiau jie nesuteikė galimybės keisti.
„Microsoft“ patikino vartotojus, kad tolesnis patikrinimas patvirtino, jog saugykloje nebuvo padaryta jokių kenksmingų pakeitimų.
Be to, užpuolikų prieigos prie „Microsoft“ klientų duomenų pėdsakų nerasta, bandymai pakenkti teikiamoms paslaugoms ir „Microsoft“ infrastruktūros naudojimui atakoms prieš kitas įmones.
Nuo atakos prieš „SolarWinds“ paskatino įvesti užpakalinę duris ne tik „Microsoft“ tinkle, bet ir taip pat daugelyje kitų bendrovių ir vyriausybinių agentūrų naudojant „SolarWinds Orion“ produktą.
„SolarWinds Orion“ užpakalinės dalies atnaujinimas buvo įdiegta daugiau nei 17.000 XNUMX klientų infrastruktūroje iš „SolarWinds“, įskaitant 425 nukentėjusias „Fortune 500“ kompanijas, taip pat pagrindines finansines institucijas ir bankus, šimtus universitetų, daugybę JAV kariuomenės ir JK padalinių, Baltųjų rūmų, NSA, JAV Valstybės departamento JAV ir Europos Parlamentas.
„SolarWinds“ klientai taip pat yra pagrindinės įmonės tokios kaip „Cisco“, AT&T, „Ericsson“, NEC, „Lucent“, „MasterCard“, „Visa USA“, „Level 3“ ir „Siemens“.
Užpakalinė duris leido nuotolinę prieigą prie „SolarWinds Orion“ vartotojų vidinio tinklo. Kenkėjiškas pakeitimas buvo išsiųstas su „SolarWinds Orion“ 2019.4 - 2020.2.1 versijomis, išleistomis nuo 2020 m. Kovo iki birželio mėn.
Atliekant incidento analizę, saugumo nepaisymas atsirado iš didelių korporacinių sistemų tiekėjų. Manoma, kad prieiga prie „SolarWinds“ infrastruktūros buvo gauta per „Microsoft Office 365“ paskyrą.
Užpuolikai gavo prieigą prie SAML sertifikato, naudojamo skaitmeniniams parašams generuoti, ir naudojo šį sertifikatą kurdami naujus žetonus, leidusius privilegijuotai prieigai prie vidinio tinklo.
Prieš tai, 2019 m. Lapkričio mėn., Išorės saugumo tyrėjai pastebėjo, kad nereikalingas slaptažodis „SolarWind123“ buvo naudojamas rašymo prieigai prie FTP serverio su „SolarWinds“ produkto atnaujinimais, taip pat nutekėjo vienas iš darbuotojų slaptažodžio. iš „SolarWinds“ viešoje „git“ saugykloje.
Be to, po to, kai buvo nustatytas užpakalinis langas, „SolarWinds“ kurį laiką toliau platino atnaujinimus su kenksmingais pakeitimais ir iš karto neatšaukė sertifikato, naudojamo skaitmeniniam produktų pasirašymui (problema kilo gruodžio 13 d., O pažymėjimas buvo panaikintas gruodžio 21 d.) ).
Atsakydamas į skundus apie kenkėjiškų programų aptikimo sistemų išduodamas perspėjimo sistemas, Klientai buvo raginami išjungti patikrinimą pašalinant klaidingai teigiamus įspėjimus.
Prieš tai „SolarWinds“ atstovai aktyviai kritikavo atvirojo kodo kūrimo modelį, lygindami atvirojo kodo naudojimą su nešvarios šakutės valgymu ir nurodydami, kad atviras plėtros modelis neužkerta kelio žymių atsiradimui ir tik patentuotas modelis gali suteikti kodo kontrolė.
Be to, JAV teisingumo departamentas atskleidė informaciją, kad užpuolikai gavo prieigą prie ministerijos pašto serverio pagrįstas „Microsoft Office 365“ platforma. Manoma, kad išpuolio metu nutekėjo maždaug 3.000 ministerijos darbuotojų pašto dėžučių turinys.
Savo ruožtu „The New York Times“ ir „Reuters“, nedetalizuodamas šaltinio, pranešė apie FTB tyrimą apie galimą ryšį tarp „JetBrains“ ir „SolarWinds“ dalyvavimo. „SolarWinds“ naudojo „TeamCity“ nuolatinės integracijos sistemą, kurią tiekė „JetBrains“.
Manoma, kad užpuolikai galėjo gauti prieigą dėl neteisingų nustatymų arba naudodami pasenusią „TeamCity“ versiją, kurioje yra nepašalintų pažeidžiamumų.
„JetBrains“ direktorius atmetė spėliones dėl ryšio įmonės išpuolio ir nurodė, kad teisėsaugos agentūros ar „SolarWinds“ atstovai su jais nesikreipė dėl galimo „TeamCity“ įsipareigojimo „SolarWinds“ infrastruktūrai.
Fuente: https://msrc-blog.microsoft.com