Microsoft ka lëshuar detaje shtesë në lidhje me sulmin që kompromentoi infrastrukturën e SolarWinds i cili zbatoi një hapësirë të pasme në platformën e menaxhimit të infrastrukturës së rrjetit SolarWinds Orion, e cila u përdor në rrjetin e korporatave të Microsoft.
Analiza e incidentit tregoi se sulmuesit fituan akses në disa llogari të korporatave të Microsoft dhe gjatë auditimit, u zbulua se këto llogari janë përdorur për të hyrë në depot e brendshme me kodin e produktit Microsoft.
Allegedshtë pohuar se të drejtat e llogarive të komprometuara lejohen vetëm të shohin kodin, por ato nuk ofruan mundësinë për të bërë ndryshime.
Microsoft ka siguruar përdoruesit se verifikimi i mëtejshëm ka konfirmuar se nuk janë bërë ndryshime me qëllim të keq në depo.
Përveç kësaj, nuk u gjetën gjurmë të hyrjes së sulmuesve në të dhënat e klientëve të Microsoft, përpjekjet për të kompromentuar shërbimet e ofruara dhe përdorimin e infrastrukturës së Microsoft për të kryer sulme ndaj kompanive të tjera.
Që nga sulmi në SolarWinds çoi në futjen e një prapa derës jo vetëm në rrjetin Microsoft, por gjithashtu në shumë kompani të tjera dhe agjenci qeveritare duke përdorur produktin SolarWinds Orion.
Përditësimi i backdoor i SolarWinds Orion është instaluar në infrastrukturën e më shumë se 17.000 klientëve nga SolarWinds, përfshirë 425 të Fortune 500 të prekur, si dhe institucione të mëdha financiare dhe banka, qindra universitete, shumë divizione të ushtrisë amerikane dhe MB, Shtëpia e Bardhë, NSA, Departamenti i Shtetit i SHBA SHBA dhe Parlamenti Evropian.
Klientët e SolarWinds përfshijnë edhe kompani të mëdha të tilla si Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Niveli 3 dhe Siemens.
Backdoor lejoi hyrjen në distancë në rrjetin e brendshëm të përdoruesve të SolarWinds Orion. Ndryshimi keqdashës u dërgua me versionet SolarWinds Orion 2019.4 - 2020.2.1 të lëshuara nga Marsi në Qershor 2020.
Gjatë analizës së incidentit, shpërfillja e sigurisë doli nga ofruesit e sistemeve të mëdha të korporatave. Supozohet se aksesi në infrastrukturën SolarWinds është marrë përmes një llogarie të Microsoft Office 365.
Sulmuesit fituan aksesin në certifikatën SAML të përdorur për të gjeneruar nënshkrime dixhitale dhe e përdorën këtë certifikatë për të gjeneruar shenja të reja që lejonin hyrjen e privilegjuar në rrjetin e brendshëm.
Para kësaj, në nëntor 2019, studiuesit e jashtëm të sigurisë vunë në dukje përdorimin e fjalëkalimit të parëndësishëm "SolarWind123" për të shkruar hyrje në serverin FTP me azhurnimet e produkteve SolarWinds, si dhe një rrjedhje të fjalëkalimit të një punonjësi. nga SolarWinds në depon publike të git.
Për më tepër, pasi u identifikua mbrapa, SolarWinds vazhdoi të shpërndante azhurnime me ndryshime të dëmshme për disa kohë dhe nuk e revokoi menjëherë certifikatën e përdorur për të nënshkruar dixhital produktet e saj (çështja u ngrit më 13 dhjetor dhe certifikata u revokua më 21 dhjetor )
Në përgjigje të ankesave në sistemet e alarmit të lëshuara nga sistemet e zbulimit të malware, Klientët u inkurajuan të çaktivizojnë verifikimin duke hequr paralajmërime të rreme pozitive.
Para kësaj, përfaqësuesit e SolarWinds kritikuan në mënyrë aktive modelin e zhvillimit të burimit të hapur, duke krahasuar përdorimin e burimit të hapur me ngrënien e një piruni të ndyrë dhe duke deklaruar se një model i hapur i zhvillimit nuk përjashton shfaqjen e faqeshënuesve dhe vetëm një model i pronarit mund të sigurojë kontrolli mbi kodin.
Përveç kësaj, Departamenti i Drejtësisë i SH.B.A.-së zbuloi informacione që sulmuesit fituan hyrjen në serverin e postës së Ministrisë bazuar në platformën Microsoft Office 365. Sulmi besohet të ketë rrjedhur përmbajtjen e kutive postare të rreth 3.000 punonjësve të Ministrisë.
Nga ana e tyre, The New York Times dhe Reuters, pa detajuar burimin, raportoi një hetim të FBI-së në një lidhje të mundshme midis JetBrains dhe angazhimit të SolarWinds. SolarWinds përdori sistemin e integrimit të vazhdueshëm TeamCity të furnizuar nga JetBrains.
Supozohet se sulmuesit mund të kenë fituar akses për shkak të cilësimeve të pasakta ose përdorimit të një versioni të vjetëruar të TeamCity që përmban dobësi të papastruara.
Drejtori i JetBrains hodhi poshtë spekulimet në lidhje me lidhjen të kompanisë me sulmin dhe tregoi se ata nuk ishin kontaktuar nga agjencitë e zbatimit të ligjit ose përfaqësuesit e SolarWinds në lidhje me një kompromis të mundshëm nga TeamCity në infrastrukturën SolarWinds.
Fuente: https://msrc-blog.microsoft.com