Microsoft ได้เปิดเผยรายละเอียดเพิ่มเติม เกี่ยวกับการโจมตี ที่ทำลายโครงสร้างพื้นฐานของ SolarWinds ซึ่งใช้แบ็คดอร์บนแพลตฟอร์มการจัดการโครงสร้างพื้นฐานเครือข่าย SolarWinds Orion ซึ่งใช้บนเครือข่ายองค์กรของ Microsoft
จากการวิเคราะห์เหตุการณ์พบว่า ผู้โจมตีสามารถเข้าถึงบัญชี บริษัท Microsoft บางบัญชีได้ และในระหว่างการตรวจสอบพบว่ามีการใช้บัญชีเหล่านี้เพื่อเข้าถึงที่เก็บภายในด้วยรหัสผลิตภัณฑ์ของ Microsoft
จึงมีการกล่าวหาว่า สิทธิ์ของบัญชีที่ถูกบุกรุกอนุญาตให้ดูรหัสเท่านั้นแต่ไม่ได้ให้ความสามารถในการเปลี่ยนแปลง
Microsoft ยืนยันกับผู้ใช้ว่าการตรวจสอบเพิ่มเติมได้ยืนยันแล้วว่าไม่มีการเปลี่ยนแปลงที่เป็นอันตรายกับที่เก็บ
นอกจากนี้ ไม่พบร่องรอยการเข้าถึงข้อมูลลูกค้า Microsoft ของผู้โจมตี พยายามที่จะประนีประนอมบริการที่มีให้และการใช้โครงสร้างพื้นฐานของ Microsoft เพื่อทำการโจมตี บริษัท อื่น ๆ
ตั้งแต่การโจมตี SolarWinds นำไปสู่การเปิดตัวแบ็คดอร์ ไม่เพียง แต่ในเครือข่าย Microsoft เท่านั้น แต่ ใน บริษัท และหน่วยงานของรัฐอื่น ๆ อีกมากมาย โดยใช้ผลิตภัณฑ์ SolarWinds Orion
การอัปเดตลับๆของ SolarWinds Orion ได้รับการติดตั้งในโครงสร้างพื้นฐานของลูกค้ามากกว่า 17.000 ราย จาก SolarWinds ซึ่งรวมถึง 425 บริษัท ใน Fortune 500 ที่ได้รับผลกระทบตลอดจนสถาบันการเงินและธนาคารที่สำคัญมหาวิทยาลัยหลายร้อยแห่งหน่วยงานต่างๆของกองทัพสหรัฐฯและสหราชอาณาจักรทำเนียบขาว NSA กระทรวงการต่างประเทศสหรัฐฯ สหรัฐอเมริกาและรัฐสภายุโรป
ลูกค้าของ SolarWinds ยังรวมถึง บริษัท ยักษ์ใหญ่ เช่น Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, ระดับ 3 และ Siemens
ประตูหลัง อนุญาตการเข้าถึงจากระยะไกลไปยังเครือข่ายภายในของผู้ใช้ SolarWinds Orion. การเปลี่ยนแปลงที่เป็นอันตรายถูกส่งมาพร้อมกับ SolarWinds Orion เวอร์ชัน 2019.4 - 2020.2.1 ที่เผยแพร่ในเดือนมีนาคมถึงมิถุนายน 2020
ในระหว่างการวิเคราะห์เหตุการณ์ การไม่คำนึงถึงความปลอดภัยเกิดขึ้นจากผู้ให้บริการระบบองค์กรขนาดใหญ่. สันนิษฐานว่าการเข้าถึงโครงสร้างพื้นฐาน SolarWinds ได้มาจากบัญชี Microsoft Office 365
ผู้โจมตีสามารถเข้าถึงใบรับรอง SAML ที่ใช้ในการสร้างลายเซ็นดิจิทัลและใช้ใบรับรองนี้เพื่อสร้างโทเค็นใหม่ที่อนุญาตให้มีสิทธิพิเศษในการเข้าถึงเครือข่ายภายใน
ก่อนหน้านี้ในเดือนพฤศจิกายน 2019 นักวิจัยด้านความปลอดภัยจากภายนอกตั้งข้อสังเกตว่าการใช้รหัสผ่าน "SolarWind123" ที่ไม่สำคัญสำหรับการเขียนเข้าถึงเซิร์ฟเวอร์ FTP ด้วยการอัปเดตผลิตภัณฑ์ SolarWinds รวมถึงการรั่วไหลของรหัสผ่านของพนักงานคนใดคนหนึ่ง จาก SolarWinds ในที่เก็บ git สาธารณะ
นอกจากนี้หลังจากระบุแบ็คดอร์แล้ว SolarWinds ยังคงแจกจ่ายการอัปเดตพร้อมการเปลี่ยนแปลงที่เป็นอันตรายเป็นระยะเวลาหนึ่งและไม่ได้เพิกถอนใบรับรองที่ใช้ในการลงนามผลิตภัณฑ์แบบดิจิทัลในทันที (ปัญหาเกิดเมื่อวันที่ 13 ธันวาคมและใบรับรองถูกเพิกถอนในวันที่ 21 ธันวาคม ).
เพื่อตอบสนองต่อข้อร้องเรียน ในระบบแจ้งเตือนที่ออกโดยระบบตรวจจับมัลแวร์ ลูกค้าได้รับการสนับสนุนให้ปิดใช้งานการตรวจสอบโดยลบคำเตือนเชิงบวกที่เป็นเท็จ
ก่อนหน้านั้นตัวแทนของ SolarWinds ได้วิพากษ์วิจารณ์รูปแบบการพัฒนาโอเพ่นซอร์สอย่างแข็งขันโดยเปรียบเทียบการใช้โอเพนซอร์สกับการกินส้อมสกปรกและระบุว่ารูปแบบการพัฒนาแบบเปิดไม่ได้ขัดขวางการปรากฏตัวของบุ๊กมาร์กและมีเพียงโมเดลที่เป็นกรรมสิทธิ์เท่านั้น ควบคุมรหัส
นอกจากนี้กระทรวงยุติธรรมสหรัฐเปิดเผยข้อมูลว่า ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์อีเมลของกระทรวงได้ โดยอาศัยแพลตฟอร์ม Microsoft Office 365 การโจมตีดังกล่าวทำให้เกิดการรั่วไหลของเนื้อหาในกล่องจดหมายของพนักงานกระทรวง 3.000 คน
ในส่วนของพวกเขา The New York Times และ Reuters โดยไม่ต้องระบุแหล่งที่มารายงานการสอบสวนของ FBI บนการเชื่อมโยงที่เป็นไปได้ระหว่าง JetBrains และการมีส่วนร่วมของ SolarWinds SolarWinds ใช้ระบบบูรณาการต่อเนื่อง TeamCity ที่จัดหาโดย JetBrains
สันนิษฐานว่าผู้โจมตีอาจเข้าถึงได้เนื่องจากการตั้งค่าที่ไม่ถูกต้องหรือการใช้ TeamCity เวอร์ชันที่ล้าสมัยซึ่งมีช่องโหว่ที่ไม่ได้แก้ไข
ผู้อำนวยการ JetBrains ยกเลิกการคาดเดาเกี่ยวกับการเชื่อมต่อ ของ บริษัท ที่ถูกโจมตีและระบุว่าพวกเขาไม่ได้รับการติดต่อจากหน่วยงานบังคับใช้กฎหมายหรือตัวแทนของ SolarWinds เกี่ยวกับความมุ่งมั่นที่เป็นไปได้ของ TeamCity ต่อโครงสร้างพื้นฐาน SolarWinds
Fuente: https://msrc-blog.microsoft.com