Microsoft已發布其他詳細信息 關於襲擊 破壞了 太陽風 在SolarWinds Orion網絡基礎架構管理平台上實施了後門程序,該平台已在Microsoft的公司網絡上使用。
對事件的分析表明 攻擊者獲得了一些Microsoft公司帳戶的訪問權限 在審計過程中,發現這些帳戶用於訪問帶有Microsoft產品代碼的內部存儲庫。
據稱 被盜帳戶的權限僅允許查看代碼,但它們沒有提供進行更改的功能。
Microsoft已向用戶保證,進一步的驗證已確認沒有對存儲庫進行任何惡意更改。
另外, 沒有發現攻擊者訪問Microsoft客戶數據的痕跡, 試圖破壞提供的服務以及使用Microsoft的基礎結構對其他公司進行攻擊。
自從對SolarWinds的攻擊以來 導致引入了後門 不只是在Microsoft網絡上, 在許多其他公司和政府機構中 使用SolarWinds Orion產品。
SolarWinds Orion後門更新 已安裝在超過17.000個客戶端的基礎架構中 來自SolarWinds,包括425個受影響的《財富》 500強企業,以及主要的金融機構和銀行,數百所大學,美軍和英國的許多部門,白宮,國家安全局,美國國務院美國和歐洲議會。
SolarWinds的客戶還包括主要公司 例如思科,AT&T,愛立信,NEC,朗訊,萬事達卡,美國Visa,3級和西門子。
後門 允許遠程訪問SolarWinds Orion用戶的內部網絡。 2019.4年2020.2.1月至2020年XNUMX月發布的SolarWinds Orion版本XNUMX-XNUMX附帶了該惡意更改。
在事件分析中, 大型企業系統提供商忽視了安全性。 假定已通過Microsoft Office 365帳戶訪問了SolarWinds基礎結構。
攻擊者獲得了用於生成數字簽名的SAML證書的訪問權限,並使用該證書生成了新令牌,從而允許特權訪問內部網絡。
在此之前,在2019年123月,外部安全研究人員注意到使用普通密碼“ SolarWindXNUMX”對具有SolarWinds產品更新的FTP服務器進行寫訪問,以及洩露了員工密碼。從公共git倉庫中的SolarWinds中獲取。
此外,在確定了後門之後,SolarWinds繼續分髮帶有惡意更改的更新已有一段時間,並且沒有立即吊銷用於對其產品進行數字簽名的證書(該問題於13月21日出現,該證書於XNUMX月XNUMX日被吊銷) )。
回應投訴 在惡意軟件檢測系統發出的警報系統上, 鼓勵客戶通過消除誤報來禁用驗證。
在此之前,SolarWinds代表積極批評開放源代碼開發模型,將開放源代碼的使用與吃臟叉子進行了比較,並指出開放開發模型並不排除書籤的出現,只有專有模型可以提供書籤。控制代碼。
此外,美國司法部披露了以下信息: 攻擊者可以訪問國防部的郵件服務器 該攻擊基於Microsoft Office 365平台,據信已洩漏了大約3.000名政府部門員工的郵箱內容。
就紐約時報和路透社而言, 沒有詳細說明來源,報導了聯邦調查局的調查 在JetBrains與SolarWinds互動之間的可能鏈接上。 SolarWinds使用了JetBrains提供的TeamCity持續集成系統。
假定攻擊者可能由於設置錯誤或使用包含未修補漏洞的TeamCity的過時版本而獲得了訪問權限。
JetBrains主任駁回了有關連接的猜測 攻擊公司,並表示執法機構或SolarWinds代表未就TeamCity對SolarWinds基礎設施的可能承諾與他們聯繫。
來源: https://msrc-blog.microsoft.com