A Microsoft divulgou detalhes adicionais sobre o ataque que comprometeu a infraestrutura de SolarWinds que implementou um backdoor na plataforma de gerenciamento de infraestrutura de rede SolarWinds Orion, que foi usada na rede corporativa da Microsoft.
A análise do incidente mostrou que os invasores obtiveram acesso a algumas contas corporativas da Microsoft e durante a auditoria, foi revelado que essas contas foram usadas para acessar repositórios internos com o código do produto Microsoft.
É alegado que os direitos das contas comprometidas só têm permissão para ver o código, mas eles não fornecem a capacidade de fazer alterações.
A Microsoft garantiu aos usuários que uma verificação posterior confirmou que nenhuma alteração maliciosa foi feita no repositório.
Além disso, nenhum traço de acesso de invasores aos dados de clientes da Microsoft foi encontrado, tentativas de comprometer os serviços prestados e o uso da infraestrutura da Microsoft para realizar ataques a outras empresas.
Desde o ataque ao SolarWinds levou à introdução de uma porta dos fundos não apenas na rede Microsoft, mas também em muitas outras empresas e agências governamentais usando o produto SolarWinds Orion.
A atualização backdoor do SolarWinds Orion já foi instalado na infraestrutura de mais de 17.000 clientes da SolarWinds, incluindo 425 das Fortune 500 afetadas, bem como as principais instituições financeiras e bancos, centenas de universidades, muitas divisões do Exército dos EUA e do Reino Unido, a Casa Branca, NSA, Departamento de Estado dos EUA EUA e Parlamento Europeu.
Os clientes da SolarWinds também incluem grandes empresas como Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 e Siemens.
A porta de trás permitiu o acesso remoto à rede interna de usuários do SolarWinds Orion. A alteração maliciosa foi enviada com as versões do SolarWinds Orion 2019.4 - 2020.2.1 lançadas de março a junho de 2020.
Durante a análise do incidente, desrespeito pela segurança surgiu de grandes provedores de sistemas corporativos. Presume-se que o acesso à infraestrutura SolarWinds foi obtido por meio de uma conta do Microsoft Office 365.
Os invasores obtiveram acesso ao certificado SAML usado para gerar assinaturas digitais e usaram esse certificado para gerar novos tokens que permitiam acesso privilegiado à rede interna.
Antes disso, em novembro de 2019, pesquisadores de segurança externos observaram o uso da senha trivial "SolarWind123" para acesso de gravação ao servidor FTP com atualizações do produto SolarWinds, bem como o vazamento da senha de um funcionário. da SolarWinds no repositório git público.
Além disso, depois que o backdoor foi identificado, a SolarWinds continuou a distribuir atualizações com alterações maliciosas por algum tempo e não revogou imediatamente o certificado usado para assinar digitalmente seus produtos (o problema surgiu em 13 de dezembro e o certificado foi revogado em 21 de dezembro )
Em resposta a reclamações nos sistemas de alerta emitidos por sistemas de detecção de malware, Os clientes foram incentivados a desabilitar a verificação removendo avisos de falsos positivos.
Antes disso, os representantes da SolarWinds criticaram ativamente o modelo de desenvolvimento de código aberto, comparando o uso do código aberto a comer um garfo sujo e afirmando que um modelo de desenvolvimento aberto não impede o aparecimento de marcadores e apenas um modelo proprietário pode fornecer controle sobre o código.
Além disso, o Departamento de Justiça dos EUA divulgou informações que os atacantes obtiveram acesso ao servidor de e-mail do Ministério baseado na plataforma Microsoft Office 365. Acredita-se que o ataque tenha vazado o conteúdo das caixas de correio de cerca de 3.000 funcionários do Ministério.
Por sua vez, The New York Times e Reuters, sem detalhar a fonte, relatou uma investigação do FBI em um possível link entre JetBrains e o compromisso SolarWinds. A SolarWinds usou o sistema de integração contínua TeamCity fornecido pela JetBrains.
Presume-se que os invasores possam ter obtido acesso devido a configurações incorretas ou ao uso de uma versão desatualizada do TeamCity contendo vulnerabilidades não corrigidas.
Diretor da JetBrains rejeitou especulações sobre conexão da empresa com o ataque e indicaram que não foram contatados por agências de cumprimento da lei ou representantes da SolarWinds sobre um possível compromisso da TeamCity com a infraestrutura da SolarWinds.
fonte: https://msrc-blog.microsoft.com