Microsoft har gitt ut ytterligere detaljer om angrepet som kompromitterte infrastrukturen til Solarwinds som implementerte en bakdør på SolarWinds Orion nettverksinfrastrukturadministrasjonsplattform, som ble brukt på Microsofts bedriftsnettverk.
Analyse av hendelsen viste det angriperne fikk tilgang til noen Microsoft-bedriftskontoer og under tilsynet ble det avslørt at disse kontoene ble brukt til å få tilgang til interne arkiver med Microsofts produktkode.
Det påstås at rettighetene til kompromitterte kontoer bare tillatt å se koden, men de ga ikke muligheten til å gjøre endringer.
Microsoft har forsikret brukerne om at ytterligere bekreftelse har bekreftet at det ikke er gjort noen ondsinnede endringer i depotet.
Videre ingen spor av angriperes tilgang til Microsoft kundedata ble funnet, forsøker å kompromittere tjenestene som tilbys og bruken av Microsofts infrastruktur for å utføre angrep på andre selskaper.
Siden angrepet på SolarWinds førte til innføringen av en bakdør ikke bare i Microsoft-nettverket, men også i mange andre selskaper og offentlige etater ved hjelp av SolarWinds Orion-produktet.
SolarWinds Orion bakdøroppdatering har blitt installert i infrastrukturen til mer enn 17.000 kunder fra SolarWinds, inkludert 425 av de berørte Fortune 500, samt store finansinstitusjoner og banker, hundrevis av universiteter, mange divisjoner fra det amerikanske militæret og Storbritannia, Det hvite hus, NSA, US Department of State USA og Europaparlamentet.
SolarWinds kunder inkluderer også store selskaper som Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, nivå 3 og Siemens.
Bakdøren tillatt ekstern tilgang til det interne nettverket til SolarWinds Orion-brukere. Den ondsinnede endringen ble sendt med SolarWinds Orion-versjoner 2019.4 - 2020.2.1 utgitt fra mars til juni 2020.
Under hendelsesanalysen, tilsidesettelse av sikkerhet kom fra store bedriftssystemleverandører. Det antas at tilgang til SolarWinds-infrastrukturen ble oppnådd gjennom en Microsoft Office 365-konto.
Angriperne fikk tilgang til SAML-sertifikatet som ble brukt til å generere digitale signaturer, og brukte dette sertifikatet til å generere nye tokens som tillot privilegert tilgang til det interne nettverket.
Før dette, i november 2019, bemerket utenforstående sikkerhetsforskere bruken av det trivielle passordet "SolarWind123" for skrivetilgang til FTP-serveren med SolarWinds-produktoppdateringer, samt en lekkasje av en av de ansattes passord. fra SolarWinds i det offentlige git-depotet.
I tillegg, etter at bakdøren ble identifisert, fortsatte SolarWinds å distribuere oppdateringer med ondsinnede endringer i en stund og tilbakekalte ikke umiddelbart sertifikatet som ble brukt til å signere produktene sine digitalt (problemet oppstod 13. desember og sertifikatet ble tilbakekalt 21. desember ).
Som svar på klager på varslingssystemene utstedt av detekteringssystemer for skadelig programvare, Kunder ble oppfordret til å deaktivere bekreftelse ved å fjerne falske positive advarsler.
Før det kritiserte SolarWinds-representanter aktivt utviklingsmodellen for åpen kildekode, sammenlignet bruken av åpen kildekode med å spise en skitten gaffel og sa at en åpen utviklingsmodell ikke utelukker at bokmerker vises og bare en proprietær modell kan gi kontroll over kode.
I tillegg avslørte det amerikanske justisdepartementet informasjon som angriperne fikk tilgang til departementets e-postserver basert på Microsoft Office 365-plattformen. Angrepet antas å ha lekket innholdet i postkassene til rundt 3.000 ansatte i departementet.
For deres del, The New York Times og Reuters, uten å detaljere kilden, rapporterte en FBI-etterforskning på en mulig kobling mellom JetBrains og SolarWinds-engasjementet. SolarWinds brukte TeamCity kontinuerlig integreringssystem levert av JetBrains.
Det antas at angriperne kunne ha fått tilgang på grunn av feil innstillinger eller bruk av en utdatert versjon av TeamCity som inneholder ikke-patchede sårbarheter.
JetBrains-direktør avviste spekulasjoner om tilkobling av selskapet med angrepet og indikerte at de ikke ble kontaktet av politimyndigheter eller SolarWinds-representanter om en mulig forpliktelse fra TeamCity til SolarWinds-infrastruktur.
Fuente: https://msrc-blog.microsoft.com