SolarWinds angripare lyckades få tillgång till Microsoft-kod

Microsoft har släppt ytterligare information om attacken som äventyrade infrastrukturen i Solarwinds som implementerade en bakdörr på SolarWinds Orions nätverksinfrastrukturhanteringsplattform, som användes i Microsofts företagsnätverk.

Analys av händelsen visade det angripare fick tillgång till vissa Microsoft-företagskonton och under granskningen avslöjades att dessa konton användes för att komma åt interna förvar med Microsoft-produktkod.

Det påstås att rättigheterna för de komprometterade kontona får bara se koden, men de gav inte möjlighet att göra ändringar.

Microsoft har försäkrat användare att ytterligare verifiering har bekräftat att inga skadliga ändringar har gjorts i förvaret.

Dessutom, inga spår av angriparnas tillgång till Microsofts kunddata hittades, försöker kompromissa med de tjänster som tillhandahålls och användningen av Microsofts infrastruktur för att utföra attacker mot andra företag.

Sedan attacken mot SolarWinds ledde till införandet av en bakdörr inte bara i Microsofts nätverk utan även i många andra företag och myndigheter med hjälp av SolarWinds Orion-produkten.

SolarWinds Orions bakdörruppdatering har installerats i mer än 17.000 XNUMX klienters infrastruktur från SolarWinds, inklusive 425 av de drabbade Fortune 500-företagen, liksom stora finansiella institutioner och banker, hundratals universitet, många avdelningar från den amerikanska militären och Storbritannien, Vita huset, NSA, USA: s utrikesdepartement USA och Europaparlamentet.

SolarWinds kunder inkluderar också större företag såsom Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, nivå 3 och Siemens.

Bakdörren tillät fjärråtkomst till det interna nätverket av SolarWinds Orion-användare. Den skadliga förändringen levererades med SolarWinds Orion-versionerna 2019.4 - 2020.2.1 som släpptes från mars till juni 2020.

Under incidentanalysen bortse från säkerhet uppstod från stora systemleverantörer. Det antas att tillgång till SolarWinds-infrastrukturen erhölls via ett Microsoft Office 365-konto.

Angriparna fick tillgång till SAML-certifikatet som användes för att generera digitala signaturer och använde detta certifikat för att generera nya tokens som tillät privilegierad åtkomst till det interna nätverket.

Innan detta, i november 2019, noterade externa säkerhetsforskare användningen av det triviala lösenordet "SolarWind123" för skrivåtkomst till FTP-servern med SolarWinds-produktuppdateringar, samt läckage av en av de anställdas lösenord. från SolarWinds i det offentliga gitförvaret.

Efter att bakdörren identifierades fortsatte SolarWinds att distribuera uppdateringar med skadliga förändringar under en tid och återkallade inte omedelbart certifikatet som användes för att signera sina produkter digitalt (problemet uppstod den 13 december och certifikatet återkallades den 21 december ).

Som svar på klagomål på varningssystem som utfärdas av system för detektering av skadlig programvara, Kunder uppmanades att inaktivera verifiering genom att ta bort falska positiva varningar.

Innan dess kritiserade SolarWinds-representanter aktivt utvecklingsmodellen för öppen källkod, jämförde användningen av öppen källkod med att äta en smutsig gaffel och hävdade att en öppen utvecklingsmodell inte utesluter att bokmärken ska visas och endast en egen modell kan tillhandahålla kontroll över koden.

Dessutom avslöjade US Department of Justice information som angriparna fick tillgång till ministeriets e-postserver baserat på Microsoft Office 365-plattformen. Attacken antas ha läckt ut innehållet i brevlådorna för cirka 3.000 XNUMX anställda vid ministeriet.

För sin del, The New York Times och Reuters, utan att beskriva källan, rapporterade en FBI-utredning om en möjlig länk mellan JetBrains och SolarWinds-engagemanget. SolarWinds använde det kontinuerliga integrationssystemet TeamCity från JetBrains.

Det antas att angriparna kan ha fått tillgång på grund av felaktiga inställningar eller användningen av en föråldrad version av TeamCity som innehåller omatchade sårbarheter.

JetBrains-direktören avfärdade spekulationer om anslutning av företaget med attacken och indikerade att de inte kontaktades av brottsbekämpande myndigheter eller representanter från SolarWinds om ett eventuellt åtagande från TeamCity till SolarWinds infrastruktur.

Fuente: https://msrc-blog.microsoft.com


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

Bli först att kommentera

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.