Microsoft heeft aanvullende details vrijgegeven over de aanval die de infrastructuur van SolarWinds die een achterdeur implementeerde op het SolarWinds Orion-platform voor netwerkinfrastructuurbeheer, dat werd gebruikt op het bedrijfsnetwerk van Microsoft.
Analyse van het incident toonde dat aan aanvallers hebben toegang gekregen tot enkele zakelijke Microsoft-accounts en tijdens de audit werd onthuld dat deze accounts werden gebruikt om toegang te krijgen tot interne opslagplaatsen met Microsoft-productcode.
Er wordt beweerd dat de rechten van de gecompromitteerde accounts mogen alleen de code zien, maar ze boden niet de mogelijkheid om wijzigingen aan te brengen.
Microsoft heeft gebruikers verzekerd dat verdere verificatie heeft bevestigd dat er geen kwaadwillende wijzigingen zijn aangebracht in de repository.
Bovendien heeft er zijn geen sporen gevonden van toegang van aanvallers tot klantgegevens van Microsoft, pogingen om de geleverde services en het gebruik van de infrastructuur van Microsoft te compromitteren om aanvallen op andere bedrijven uit te voeren.
Sinds de aanval op SolarWinds leidde tot de introductie van een achterdeur niet alleen op het Microsoft-netwerk, maar ook bij veel andere bedrijven en overheidsinstanties met behulp van het SolarWinds Orion-product.
De SolarWinds Orion backdoor update is geïnstalleerd in de infrastructuur van meer dan 17.000 klanten van SolarWinds, waaronder 425 van de getroffen Fortune 500, evenals grote financiële instellingen en banken, honderden universiteiten, vele divisies van het Amerikaanse leger en het VK, het Witte Huis, NSA, US Department of State VS en het Europees Parlement.
Tot de klanten van SolarWinds behoren ook grote bedrijven zoals Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 en Siemens.
De achterdeur externe toegang tot het interne netwerk van SolarWinds Orion-gebruikers toegestaan. De kwaadaardige wijziging is verzonden met SolarWinds Orion-versies 2019.4 - 2020.2.1 die zijn uitgebracht van maart tot juni 2020.
Tijdens de incidentanalyse minachting voor beveiliging kwam voort uit grote leveranciers van bedrijfssystemen. Aangenomen wordt dat toegang tot de SolarWinds-infrastructuur werd verkregen via een Microsoft Office 365-account.
De aanvallers kregen toegang tot het SAML-certificaat dat werd gebruikt om digitale handtekeningen te genereren en gebruikten dit certificaat om nieuwe tokens te genereren die geprivilegieerde toegang tot het interne netwerk mogelijk maakten.
Voorafgaand hieraan, in november 2019, merkten externe beveiligingsonderzoekers op dat het triviale wachtwoord "SolarWind123" werd gebruikt voor schrijftoegang tot de FTP-server met productupdates van SolarWinds, evenals het lekken van het wachtwoord van een medewerker. van SolarWinds in de openbare git-repository.
Bovendien, nadat de achterdeur was geïdentificeerd, bleef SolarWinds enige tijd updates met kwaadaardige wijzigingen verspreiden en trok het certificaat dat werd gebruikt om zijn producten digitaal te ondertekenen niet onmiddellijk in (het probleem deed zich voor op 13 december en het certificaat werd ingetrokken op 21 december. ).
Naar aanleiding van klachten op de waarschuwingssystemen van malwaredetectiesystemen, Klanten werden aangemoedigd om verificatie uit te schakelen door fout-positieve waarschuwingen te verwijderen.
Voordien hadden vertegenwoordigers van SolarWinds actief kritiek op het open source-ontwikkelingsmodel, waarbij ze het gebruik van open source vergeleken met het eten van een vuile vork en stelden dat een open ontwikkelingsmodel het verschijnen van bladwijzers niet uitsluit en dat alleen een eigen model kan bieden controle over code.
Bovendien heeft het Amerikaanse ministerie van Justitie informatie verstrekt die de aanvallers kregen toegang tot de mailserver van het ministerie gebaseerd op het platform Microsoft Office 365. Aangenomen wordt dat de aanval de inhoud van de mailboxen van zo'n 3.000 medewerkers van het ministerie heeft gelekt.
Van hun kant, The New York Times en Reuters, zonder de bron te vermelden, meldde een FBI-onderzoek over een mogelijke link tussen JetBrains en het SolarWinds-engagement. SolarWinds maakte gebruik van het TeamCity-systeem voor continue integratie dat werd geleverd door JetBrains.
Aangenomen wordt dat de aanvallers toegang hadden kunnen krijgen vanwege onjuiste instellingen of het gebruik van een verouderde versie van TeamCity die niet-gepatchte kwetsbaarheden bevat.
De directeur van JetBrains wees speculaties over verbinding af van het bedrijf met de aanval en gaven aan dat ze niet werden benaderd door wetshandhavingsinstanties of vertegenwoordigers van SolarWinds over een mogelijke toezegging van TeamCity aan de infrastructuur van SolarWinds.
bron: https://msrc-blog.microsoft.com