Microsoft已发布其他详细信息 关于袭击 损害了 SolarWinds的 在SolarWinds Orion网络基础结构管理平台上实施了后门程序,该平台已在Microsoft的公司网络上使用。
对事件的分析表明 攻击者获得了一些Microsoft公司帐户的访问权限 在审计过程中,发现这些帐户用于访问带有Microsoft产品代码的内部存储库。
据称 被盗帐户的权限仅允许查看代码,但它们没有提供进行更改的功能。
Microsoft已向用户保证,进一步的验证已确认没有对存储库进行任何恶意更改。
另外, 没有发现攻击者访问Microsoft客户数据的痕迹, 试图破坏提供的服务以及使用Microsoft的基础结构对其他公司进行攻击。
自从对SolarWinds的攻击 导致引入了后门 不仅在Microsoft网络上,而且 在许多其他公司和政府机构中 使用SolarWinds Orion产品。
SolarWinds Orion后门更新 已安装在超过17.000个客户的基础架构中 来自SolarWinds,包括425个受影响的《财富》 500强企业,以及主要的金融机构和银行,数百所大学,美军和英国的许多部门,白宫,国家安全局,美国国务院美国和欧洲议会。
SolarWinds的客户还包括主要公司 例如思科,AT&T,爱立信,NEC,朗讯,万事达卡,美国Visa,3级和西门子。
后门 允许远程访问SolarWinds Orion用户的内部网络。 2019.4年2020.2.1月至2020年XNUMX月发布的SolarWinds Orion版本XNUMX-XNUMX附带了该恶意更改。
在事件分析中, 大型公司系统提供商逐渐忽视了安全性。 假定已通过Microsoft Office 365帐户访问了SolarWinds基础结构。
攻击者获得了用于生成数字签名的SAML证书的访问权限,并使用该证书生成了新令牌,从而允许特权访问内部网络。
在此之前,在2019年123月,外部安全研究人员注意到使用普通密码“ SolarWindXNUMX”对具有SolarWinds产品更新的FTP服务器进行写访问,以及泄露了员工密码。从公共git仓库中的SolarWinds中获取。
此外,在确定后门之后,SolarWinds继续分发带有恶意更改的更新已有一段时间,并且没有立即吊销用于对其产品进行数字签名的证书(该问题于13月21日出现,该证书于XNUMX月XNUMX日被吊销) )。
回应投诉 在恶意软件检测系统发出的警报系统上, 鼓励客户通过消除误报来禁用验证。
在此之前,SolarWinds代表积极批评开放源代码开发模型,将开放源代码的使用与吃脏叉子进行了比较,并指出开放开发模型并不排除书签的出现,只有专有模型可以提供书签。控制代码。
此外,美国司法部披露了以下信息: 攻击者可以访问国防部的邮件服务器 该攻击基于Microsoft Office 365平台,据信已泄漏了大约3.000名政府部门员工的邮箱内容。
就《纽约时报》和《路透社》而言, 没有详细说明来源,报道了联邦调查局的调查 在JetBrains与SolarWinds互动之间的可能链接上。 SolarWinds使用了JetBrains提供的TeamCity持续集成系统。
假定攻击者可能由于设置错误或使用包含未修补漏洞的TeamCity的过时版本而获得了访问权限。
JetBrains主任驳回了有关连接的猜测 攻击的公司,并表示执法机构或SolarWinds代表未就TeamCity在SolarWinds基础设施中可能做出的妥协与他们联系。
数据来源: https://msrc-blog.microsoft.com