Naglabas ang Microsoft ng mga karagdagang detalye tungkol sa pag-atake nakompromiso ang imprastraktura ng Mga SolarWinds na nagpatupad ng isang backdoor sa platform ng pamamahala ng imprastraktura ng SolarWinds Orion, na ginamit sa corporate network ng Microsoft.
Ang pagsusuri ng insidente ay ipinakita na nakakuha ng access ang mga umaatake sa ilang mga Microsoft corporate account at sa panahon ng pag-audit, isiniwalat na ang mga account na ito ay ginamit upang ma-access ang panloob na mga repository na may code ng produkto ng Microsoft.
Sinasabing iyon ay ang mga karapatan ng mga nakompromisong account ay pinapayagan lamang na makita ang code, ngunit hindi nila ibinigay ang kakayahang gumawa ng mga pagbabago.
Tiniyak ng Microsoft sa mga gumagamit na ang karagdagang pagpapatunay ay nakumpirma na walang mga nakakahamak na pagbabago na nagawa sa imbakan.
Bukod dito, walang mga bakas ng pag-access ng mga umaatake sa data ng customer ng Microsoft na natagpuan, pagtatangka na ikompromiso ang mga serbisyong ipinagkakaloob at ang paggamit ng imprastraktura ng Microsoft upang magsagawa ng pag-atake sa iba pang mga kumpanya.
Dahil ang pag-atake sa SolarWinds humantong sa pagpapakilala ng isang backdoor hindi lamang sa network ng Microsoft, ngunit din sa maraming iba pang mga kumpanya at ahensya ng gobyerno gamit ang produktong SolarWinds Orion.
Ang pag-update ng backhouse ng SolarWinds Orion na-install sa imprastraktura ng higit sa 17.000 mga customer mula sa SolarWinds, kabilang ang 425 ng apektadong Fortune 500, pati na rin ang mga pangunahing institusyong pampinansyal at mga bangko, daan-daang mga unibersidad, maraming dibisyon ng militar ng US at UK, White House, NSA, Kagawaran ng Estado ng US USA at ang Parlyamento ng Europa.
Ang mga customer ng SolarWinds ay nagsasama rin ng mga pangunahing kumpanya tulad ng Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Antas 3 at Siemens.
Ang backdoor pinapayagan ang malayuang pag-access sa panloob na network ng mga gumagamit ng SolarWinds Orion. Ang nakakahamak na pagbabago ay naipadala sa mga bersyon ng SolarWinds Orion 2019.4 - 2020.2.1 na inilabas mula Marso hanggang Hunyo 2020.
Sa panahon ng pagtatasa ng insidente, ang pagwawalang bahala para sa seguridad ay lumitaw mula sa mga malalaking tagapagbigay ng mga system ng korporasyon. Ipinapalagay na ang pag-access sa imprastraktura ng SolarWinds ay nakuha sa pamamagitan ng isang Microsoft Office 365 account.
Ang mga umaatake ay nakakuha ng pag-access sa sertipiko ng SAML na ginamit upang makabuo ng mga digital na lagda at ginamit ang sertipiko na ito upang makabuo ng mga bagong token na pinapayagan ang pribilehiyong pag-access sa panloob na network.
Bago ito, noong Nobyembre 2019, nabanggit ng mga mananaliksik sa labas ng seguridad ang paggamit ng walang kabuluhang password na "SolarWind123" para sa pagsulat ng pag-access sa FTP server na may mga pag-update sa produkto ng SolarWinds, pati na rin ang isang pagtulo ng password ng isang empleyado. mula sa SolarWinds sa publikong git repository.
Bilang karagdagan, pagkatapos makilala ang backdoor, ang SolarWinds ay nagpatuloy na namahagi ng mga pag-update na may nakakahamak na pagbabago sa loob ng ilang oras at hindi kaagad binawi ang sertipiko na ginamit upang digital na pirmahan ang mga produkto nito (ang isyu ay lumitaw noong Disyembre 13 at ang sertipiko ay binawi noong Disyembre 21 ).
Bilang tugon sa mga reklamo sa mga sistemang alerto na inisyu ng mga sistema ng pagtuklas ng malware, Hinimok ang mga customer na huwag paganahin ang pag-verify sa pamamagitan ng pag-aalis ng maling mga positibong babala.
Bago ito, aktibong pinintasan ng mga kinatawan ng SolarWinds ang bukas na modelo ng pagbuo ng mapagkukunan, na inihambing ang paggamit ng bukas na mapagkukunan sa pagkain ng isang maruming tinidor at isinasaad na ang isang bukas na modelo ng pag-unlad ay hindi pumipigil sa hitsura ng mga bookmark at isang nagmamay-ari na modelo lamang ang maaaring magbigay kontrol sa code.
Bilang karagdagan, isiniwalat ng Kagawaran ng Hustisya ng Estados Unidos na nakakuha ng access ang mga umaatake sa server ng mail ng Ministri batay sa platform ng Microsoft Office 365. Ang pag-atake ay pinaniniwalaang naipuslit ang nilalaman ng mga mailbox ng halos 3.000 empleyado ng Ministry.
Para sa kanilang bahagi, The New York Times at Reuters, nang hindi idetalye ang pinagmulan, iniulat ang isang pagsisiyasat sa FBI sa isang posibleng link sa pagitan ng JetBrains at ng pakikipag-ugnayan ng SolarWinds. Ginamit ng SolarWinds ang patuloy na pagsasama-sama ng system ng TeamCity na ibinibigay ng JetBrains.
Ipinapalagay na ang mga magsasalakay ay maaaring makakuha ng pag-access dahil sa maling setting o ang paggamit ng isang hindi napapanahong bersyon ng TeamCity na naglalaman ng hindi naipadala na mga kahinaan.
Ang direktor ng JetBrains ay tumanggi sa haka-haka tungkol sa koneksyon ng kumpanya na may pag-atake at ipinahiwatig na hindi sila nakontak ng mga ahensya ng nagpapatupad ng batas o mga kinatawan ng SolarWinds tungkol sa isang posibleng pangako ng TeamCity sa imprastraktura ng SolarWinds.
Fuente: https://msrc-blog.microsoft.com