Атаковавшие SolarWinds смогли получить доступ к коду Microsoft

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

1 января 2021 года

Wikinews-logo-ru.svg

Компания Microsoft опубликовала дополнительные сведения об атаке, совершённой через компрометацию инфраструктуры компании SolarWinds и внедрение бэкдора в платформу управления сетевой инфраструктурой SolarWinds Orion, которая применялась в корпоративной сети Microsoft. Разбор инцидента показал, что атакующие получили доступ к некоторым корпоративным учётным записям Microsoft. В хоте аудита было выявлено, что с данных учётных записей производилось обращение к внутренним репозиториям с кодом продуктов Microsoft.

Утверждается, что права скомпрометированных учётных записей позволили только просмотреть код, но не предусматривали возможности внесения изменений. Компания Microsoft заверила пользователей, что дополнительная проверка подтвердила отсутствие внедрения вредоносных изменений в репозиторий. Так же не было выявлено следов доступа атакующих к данным клиентов Microsoft, попыток компрометации предоставляемых сервисов и использования инфраструктуры Microsoft для совершения атак на другие компании.

Напомним, что компрометация компании SolarWinds привела к внедрению бэкдора не только в сеть Microsoft, но и во многие другие компании и правительственные учреждения, пользующиеся продуктом SolarWinds Orion. Обновление SolarWinds Orion с бэкдором было установлено в инфраструктуры более 17 тысяч клиентов SolarWinds, в том числе пострадали 425 из 500 компаний из списка Fortune 500, а также крупнейшие финансовые учреждения, сотни университетов, многие подразделения вооруженных сил США и Великобритании, Белый дом, АНБ, государственный департамент США и Европарламент. Бэкдор позволял получить удалённый доступ к внутренней сети пользователей SolarWinds Orion. Вредоносное изменение поставлялось в составе версий SolarWinds Orion 2019.4 - 2020.2.1, выпущенных c марта по июнь 2020 года. Первые следы использования бэкдора датированы весной 2020 года.

В ходе разбора инцидента всплыло наплевательское отношение к безопасности крупных поставщиков корпоративных систем. Предполагается, что доступ к инфраструктуре SolarWinds был получен через учётную запись в Microsoft Office 365. Атакующие получили доступ к сертификату SAML, применяемому для формирования цифровых подписей, и использовали данный сертификат для генерации новых токенов, допускающих привилегированный доступ к внутренней сети.

До этого ещё в ноябре 2019 года сторонними исследователями безопасности отмечалось использование тривиального пароля "SolarWind123" для доступа с правом записи к FTP-серверу с обновлениями продуктов SolarWinds, а также утечка пароля одного из сотрудников SolarWinds в публичном git-репозитории. Более того, уже после выявления инцидента, SolarWinds какое-то время продолжал распространение обновлений с бэкдором и сразу не отозвал сертификат, используемых для заверения своих продуктов цифровой подписью (проблема всплыла 13 декабря, а сертификат был отозван 21 декабря). В ответ на жалобы на вывод предупреждений системами выявления вредоносного ПО, клиентам рекомендовалось отключить проверку, списывая предупреждения на ложные срабатывания.

До этого представители SolarWinds активно критиковали модель разработки СПО, сравнивая использование открытого кода с едой грязной вилкой и заявляя, что открытая модель разработки не исключает появляется закладок и только проприетарная модель разработки может обеспечить контроль за кодом.

 

Источники[править]


OpenNET logo.png
Creative Commons
Эта статья содержит материалы из статьи «Атаковавшие SolarWinds смогли получить доступ к коду Microsoft», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Атаковавшие SolarWinds смогли получить доступ к коду Microsoft