Microsoft đã phát hành thêm chi tiết về cuộc tấn công đã làm tổn hại đến cơ sở hạ tầng của SolarWinds đã triển khai một cửa sau vào nền tảng quản lý cơ sở hạ tầng mạng SolarWinds Orion, được sử dụng trên mạng công ty của Microsoft.
Phân tích sự việc cho thấy những kẻ tấn công đã giành được quyền truy cập vào một số tài khoản công ty của Microsoft và trong quá trình kiểm tra, người ta phát hiện ra rằng những tài khoản này đã được sử dụng để truy cập vào kho lưu trữ nội bộ bằng mã sản phẩm của Microsoft.
Người ta cáo buộc rằng quyền của các tài khoản bị xâm nhập chỉ được phép xem mã, nhưng chúng không cung cấp khả năng thực hiện thay đổi.
Microsoft đã đảm bảo với người dùng rằng việc xác minh thêm đã xác nhận rằng không có thay đổi độc hại nào được đưa vào kho lưu trữ.
Bên cạnh đó, không tìm thấy dấu vết nào về việc kẻ tấn công truy cập vào dữ liệu khách hàng của Microsoft, cố gắng xâm phạm các dịch vụ được cung cấp và việc sử dụng cơ sở hạ tầng của Microsoft để thực hiện các cuộc tấn công vào các công ty khác.
Kể từ cuộc tấn công vào SolarWinds dẫn đến sự ra đời của cửa sau không chỉ trên mạng Microsoft mà còn còn ở nhiều công ty và cơ quan chính phủ khác những người sử dụng sản phẩm SolarWinds Orion.
Bản cập nhật cửa sau SolarWinds Orion đã được cài đặt trong cơ sở hạ tầng của hơn 17.000 khách hàng của SolarWinds, bao gồm 425 trong số 500 công ty Fortune 500 bị ảnh hưởng, cũng như các tổ chức tài chính và ngân hàng lớn, hàng trăm trường đại học, nhiều bộ phận của quân đội Hoa Kỳ và Vương quốc Anh, Nhà Trắng, NSA, Bộ Ngoại giao Hoa Kỳ và Nghị viện Châu Âu.
Khách hàng của SolarWinds cũng bao gồm các công ty lớn chẳng hạn như Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 và Siemens.
Cửa sau Đã bật quyền truy cập từ xa vào mạng nội bộ cho người dùng SolarWinds Orion. Thay đổi độc hại này được thực hiện cùng với các phiên bản SolarWinds Orion 2019.4 – 2020.2.1 được phát hành từ tháng 2020 đến tháng XNUMX năm XNUMX.
Trong quá trình phân tích sự cố, Sự coi thường vấn đề bảo mật xuất hiện từ các nhà cung cấp hệ thống doanh nghiệp lớn. Giả định rằng quyền truy cập vào cơ sở hạ tầng SolarWinds được lấy thông qua tài khoản Microsoft Office 365.
Những kẻ tấn công đã giành được quyền truy cập vào chứng chỉ SAML được sử dụng để tạo chữ ký số và sử dụng chứng chỉ này để tạo mã thông báo mới cho phép truy cập đặc quyền vào mạng nội bộ.
Trước đó, vào tháng 2019 năm 123, các nhà nghiên cứu bảo mật bên ngoài đã ghi nhận việc sử dụng mật khẩu tầm thường “SolarWindXNUMX” để ghi quyền truy cập vào máy chủ FTP với các bản cập nhật sản phẩm SolarWinds, cũng như vụ rò rỉ một trong những mật khẩu của nhân viên của SolarWinds trong kho git công cộng.
Ngoài ra, sau khi xác định được cửa sau, SolarWinds tiếp tục phân phối các bản cập nhật có thay đổi độc hại trong một thời gian và không thu hồi ngay chứng chỉ được sử dụng để ký điện tử vào các sản phẩm của mình (vấn đề phát sinh vào ngày 13 tháng 21 và chứng chỉ đã bị thu hồi vào ngày XNUMX tháng XNUMX).
Để đáp lại những lời phàn nàn trên các hệ thống cảnh báo do hệ thống phát hiện phần mềm độc hại đưa ra, khách hàng được khuyến khích vô hiệu hóa xác minh bằng cách xóa các cảnh báo dương tính giả.
Trước đó, đại diện của SolarWinds đã tích cực chỉ trích mô hình phát triển nguồn mở, so sánh việc sử dụng nguồn mở với việc ăn một cái nĩa bẩn và tuyên bố rằng mô hình phát triển mở không loại trừ sự xuất hiện của dấu trang và chỉ mô hình độc quyền mới có thể cung cấp quyền kiểm soát mã.
Ngoài ra, Bộ Tư pháp Hoa Kỳ còn tiết lộ thông tin rằng Những kẻ tấn công đã giành được quyền truy cập vào máy chủ thư của Bộ dựa trên nền tảng Microsoft Office 365. Cuộc tấn công được cho là đã làm rò rỉ nội dung hộp thư của khoảng 3.000 nhân viên Bộ.
Về phần mình, The New York Times và Reuters, không ghi rõ nguồn, báo cáo một cuộc điều tra của FBI về mối liên hệ có thể có giữa JetBrains và thỏa hiệp SolarWinds. SolarWinds đã sử dụng hệ thống tích hợp liên tục TeamCity do JetBrains cung cấp.
Người ta cho rằng những kẻ tấn công có thể đã giành được quyền truy cập do cấu hình không chính xác hoặc sử dụng phiên bản TeamCity lỗi thời có chứa các lỗ hổng chưa được vá.
Giám đốc điều hành JetBrains bác bỏ suy đoán kết nối của công ty về cuộc tấn công và chỉ ra rằng họ không được các cơ quan thực thi pháp luật hoặc đại diện của SolarWinds liên hệ về khả năng TeamCity xâm phạm cơ sở hạ tầng SolarWinds.
Fuente: https://msrc-blog.microsoft.com