Microsoft опубликовала дополнительную информацию о нападении это поставило под угрозу инфраструктуру SolarWinds который реализовал бэкдор на платформе управления сетевой инфраструктурой SolarWinds Orion, которая использовалась в корпоративной сети Microsoft.
Анализ происшествия показал, что злоумышленники получили доступ к некоторым корпоративным учетным записям Microsoft и в ходе аудита было выявлено, что эти учетные записи использовались для доступа к внутренним репозиториям с кодом продукта Microsoft.
Утверждается, что права скомпрометированных аккаунтов позволяли видеть только код, но они не давали возможности вносить изменения.
Microsoft заверила пользователей, что дальнейшая проверка подтвердила отсутствие вредоносных изменений в репозиторий.
Кроме того, следов доступа злоумышленников к данным клиентов Microsoft не обнаружено, попытки скомпрометировать предоставляемые услуги и использование инфраструктуры Microsoft для проведения атак на другие компании.
С момента атаки на SolarWinds привело к введению бэкдора не только в сети Microsoft, но также во многих других компаниях и государственных учреждениях с помощью продукта SolarWinds Orion.
Обновление бэкдора SolarWinds Orion установлен в инфраструктуре более 17.000 клиентов от SolarWinds, в том числе 425 из пострадавших Fortune 500, а также крупных финансовых учреждений и банков, сотен университетов, многих подразделений вооруженных сил США и Великобритании, Белого дома, АНБ, Государственного департамента США. США и Европарламент.
Среди клиентов SolarWinds также крупные компании. такие как Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 и Siemens.
Бэкдор разрешен удаленный доступ к внутренней сети пользователей SolarWinds Orion. Вредоносное изменение было отправлено с SolarWinds Orion версий 2019.4 - 2020.2.1, выпущенных с марта по июнь 2020 года.
Во время анализа инцидента, пренебрежение безопасностью со стороны крупных поставщиков корпоративных систем. Предполагается, что доступ к инфраструктуре SolarWinds был получен через учетную запись Microsoft Office 365.
Злоумышленники получили доступ к сертификату SAML, который использовался для генерации цифровых подписей, и использовали этот сертификат для создания новых токенов, обеспечивающих привилегированный доступ к внутренней сети.
До этого, в ноябре 2019 года, сторонние исследователи в области безопасности отметили использование тривиального пароля SolarWind123 для доступа на запись к FTP-серверу с обновлениями продукта SolarWinds, а также утечку пароля сотрудника. из SolarWinds в публичном репозитории git.
Кроме того, после того, как бэкдор был обнаружен, SolarWinds продолжала распространять обновления с вредоносными изменениями в течение некоторого времени и не сразу отозвала сертификат, используемый для цифровой подписи своих продуктов (проблема возникла 13 декабря, а сертификат был отозван 21 декабря. ).
В ответ на жалобы о системах оповещения, выдаваемых системами обнаружения вредоносных программ, Клиентам предлагалось отключить проверку, удалив ложные срабатывания предупреждений.
До этого представители SolarWinds активно критиковали модель разработки с открытым исходным кодом, сравнивая использование открытого исходного кода с грязной вилкой и заявляя, что модель открытой разработки не исключает появления закладок и только проприетарная модель может обеспечить контроль над кодом.
Кроме того, Министерство юстиции США раскрыло информацию о том, что злоумышленники получили доступ к почтовому серверу министерства основан на платформе Microsoft Office 365. Предполагается, что в результате атаки произошло утечка содержимого почтовых ящиков около 3.000 сотрудников Министерства.
Со своей стороны, The New York Times и Reuters, без подробного описания источника, сообщил о расследовании ФБР о возможной связи между JetBrains и взаимодействием с SolarWinds. SolarWinds использовала систему непрерывной интеграции TeamCity, поставляемую JetBrains.
Предполагается, что злоумышленники могли получить доступ из-за неправильных настроек или использования устаревшей версии TeamCity, содержащей незащищенные уязвимости.
Директор JetBrains опроверг слухи о подключении компании-участника атаки и указали, что с ними не связались правоохранительные органы или представители SolarWinds по поводу возможной компрометации TeamCity инфраструктуры SolarWinds.
источник: https://msrc-blog.microsoft.com