Microsoft je izdal dodatne podrobnosti o napadu ki je ogrozila infrastrukturo SolarWinds ki je na platformi za upravljanje omrežne infrastrukture SolarWinds Orion uvedel zakulisje, ki je bilo uporabljeno v Microsoftovem podjetniškem omrežju.
Analiza incidenta je to pokazala napadalci so dobili dostop do nekaterih Microsoftovih poslovnih računov in med revizijo je bilo razkrito, da so bili ti računi uporabljeni za dostop do notranjih skladišč z Microsoftovo kodo izdelka.
Trdi se, da pravice ogroženih računov so omogočile samo ogled kode, vendar niso omogočili sprememb.
Microsoft je uporabnikom zagotovil, da je nadaljnje preverjanje potrdilo, da v repozitoriju ni prišlo do zlonamernih sprememb.
Poleg tega, ni bilo mogoče najti sledov dostopa napadalcev do Microsoftovih podatkov o strankah, poskusi ogrožanja ponujenih storitev in uporabe Microsoftove infrastrukture za izvajanje napadov na druga podjetja.
Od napada na SolarWinds pripeljala do uvedbe zakulisja ne samo v Microsoftovem omrežju, ampak tudi v številnih drugih podjetjih in vladnih agencijah z uporabo izdelka SolarWinds Orion.
Posodobitev v ozadju SolarWinds Orion je bila nameščena v infrastrukturo več kot 17.000 strank iz SolarWindsa, vključno z 425 prizadetega Fortune 500, pa tudi večjimi finančnimi institucijami in bankami, stotinami univerz, številnimi oddelki ameriške vojske in Velike Britanije, Bele hiše, NSA, ameriškega zunanjega ministrstva ZDA in Evropski parlament.
Med kupci SolarWindsa so tudi večja podjetja kot so Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 in Siemens.
Zakulisje dovolil oddaljen dostop do notranjega omrežja uporabnikov SolarWinds Orion. Zlonamerna sprememba je bila dostavljena z različicami SolarWinds Orion 2019.4 - 2020.2.1, ki so bile izdane od marca do junija 2020.
Med analizo incidenta je neupoštevanje varnosti se je pojavilo pri velikih ponudnikih korporacijskih sistemov. Predpostavlja se, da je bil dostop do infrastrukture SolarWinds pridobljen prek računa Microsoft Office 365.
Napadalci so dobili dostop do potrdila SAML, ki se uporablja za ustvarjanje digitalnih podpisov, in s tem potrdilom ustvarili nove žetone, ki so omogočali privilegiran dostop do notranjega omrežja.
Pred tem so novembra 2019 zunanji raziskovalci varnosti opazili uporabo trivialnega gesla "SolarWind123" za dostop do pisanja na strežnik FTP s posodobitvami izdelkov SolarWinds, pa tudi do uhajanja gesla zaposlenega. iz SolarWindsa v javnem repozitoriju git.
Poleg tega je SolarWinds po identifikaciji zakulisja nekaj časa nadaljeval z distribucijo posodobitev z zlonamernimi spremembami in ni takoj preklical potrdila, ki se uporablja za digitalno podpisovanje njegovih izdelkov (težava je nastala 13. decembra, potrdilo pa je bilo preklicano 21. decembra). ).
Kot odgovor na pritožbe o sistemih opozarjanja, ki jih izdajo sistemi za odkrivanje zlonamerne programske opreme, Kupce so spodbujali, da onemogočijo preverjanje z odstranitvijo lažno pozitivnih opozoril.
Pred tem so predstavniki SolarWindsa aktivno kritizirali odprtokodni razvojni model, primerjali uporabo odprtokodne kode z jedjo umazanih vilic in trdili, da odprti razvojni model ne izključuje pojava zaznamkov in lahko zagotavlja samo lastniški model nadzor nad kodo.
Poleg tega je ameriško ministrstvo za pravosodje razkrilo podatke, ki napadalci so dobili dostop do poštnega strežnika ministrstva temelji na platformi Microsoft Office 365. Zadeva naj bi prinesla vsebino nabiralnikov približno 3.000 uslužbencev ministrstva.
The New York Times in Reuters pa brez podrobnosti vira, je poročal preiskavo FBI o možni povezavi med JetBrains in angažmajem SolarWinds. SolarWinds je uporabil sistem neprekinjene integracije TeamCity, ki ga je dobavil JetBrains.
Domneva se, da bi lahko napadalci dobili dostop zaradi nepravilnih nastavitev ali uporabe zastarele različice TeamCity, ki vsebuje neprimerjene ranljivosti.
Direktor JetBrains je zavrnil ugibanja o povezavi podjetja z napadom in navedli, da jih organi pregona ali predstavniki SolarWindsa niso kontaktirali glede morebitne zavezanosti TeamCityja za infrastrukturo SolarWinds.
vir: https://msrc-blog.microsoft.com