Атаковавшие SolarWinds смогли получить доступ к коду Microsoft
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Microsoft опубликовала дополнительные сведения об атаке, совершённой через компрометацию инфраструктуры компании SolarWinds и внедрение бэкдора в платформу управления сетевой инфраструктурой SolarWinds Orion, которая применялась в корпоративной сети Microsoft. Разбор инцидента показал, что атакующие получили доступ к некоторым корпоративным учётным записям Microsoft. В хоте аудита было выявлено, что с данных учётных записей производилось обращение к внутренним репозиториям с кодом продуктов Microsoft.
Утверждается, что права скомпрометированных учётных записей позволили только просмотреть код, но не предусматривали возможности внесения изменений. Компания Microsoft заверила пользователей, что дополнительная проверка подтвердила отсутствие внедрения вредоносных изменений в репозиторий. Так же не было выявлено следов доступа атакующих к данным клиентов Microsoft, попыток компрометации предоставляемых сервисов и использования инфраструктуры Microsoft для совершения атак на другие компании.
Напомним, что компрометация компании SolarWinds привела к внедрению бэкдора не только в сеть Microsoft, но и во многие другие компании и правительственные учреждения, пользующиеся продуктом SolarWinds Orion. Обновление SolarWinds Orion с бэкдором было установлено в инфраструктуры более 17 тысяч клиентов SolarWinds, в том числе пострадали 425 из 500 компаний из списка Fortune 500, а также крупнейшие финансовые учреждения и банки, сотни университетов, многие подразделения вооруженных сил США и Великобритании, Белый дом, АНБ, государственный департамент США и Европарламент. Среди клиентов SolarWinds также числятся такие крупные компании, как Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 и Siemens.
Бэкдор позволял получить удалённый доступ к внутренней сети пользователей SolarWinds Orion.
Вредоносное изменение поставлялось в составе версий SolarWinds Orion 2019.4 - 2020.2.1, выпущенных c марта по июнь 2020 года. Первые следы использования бэкдора датированы весной 2020 года.
В ходе разбора инцидента всплыло наплевательское отношение к безопасности крупных поставщиков корпоративных систем. Предполагается, что доступ к инфраструктуре SolarWinds был получен через учётную запись в Microsoft Office 365. Атакующие получили доступ к сертификату SAML, применяемому для формирования цифровых подписей, и использовали данный сертификат для генерации новых токенов, допускающих привилегированный доступ к внутренней сети.
До этого ещё в ноябре 2019 года сторонними исследователями безопасности отмечалось использование тривиального пароля "SolarWind123" для доступа с правом записи к FTP-серверу с обновлениями продуктов SolarWinds, а также утечка пароля одного из сотрудников SolarWinds в публичном git-репозитории. Более того, уже после выявления бэкдора, SolarWinds какое-то время продолжал распространение обновлений с вредоносными изменениями и сразу не отозвал сертификат, используемый для заверения своих продуктов цифровой подписью (проблема всплыла 13 декабря, а сертификат был отозван 21 декабря). В ответ на жалобы на вывод предупреждений системами выявления вредоносного ПО, клиентам рекомендовалось отключить проверку, списывая предупреждения на ложные срабатывания.
До этого представители SolarWinds активно критиковали модель разработки СПО, сравнивая использование открытого кода с едой грязной вилкой и заявляя, что открытая модель разработки не исключает появляется закладок и только проприетарная модель может обеспечить полный контроль за кодом.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://news.ycombinator.com/i...)
- OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise (подтверждено)
- OpenNews: Взлом внутренней сети NASA через плату Raspberry Pi
- OpenNews: Взлом инфраструктуры LineageOS через уязвимость в SaltStack
- OpenNews: Взлом серверов компании Cisco, обслуживающих инфраструктуру VIRL-PE
- OpenNews: Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
Похожие новости:
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [AR и VR, Игры и игровые приставки] Режим виртуальной реальности Microsoft Flight Simulator тормозит даже на мощных компьютерах
- [Системное администрирование, История IT, Софт, IT-компании] Корневой сертификат Microsoft истекает в этом месяце, но компания просит его не удалять
- [Системное администрирование, Софт, IT-компании] Microsoft выкатила хотфикс для проблемы с ChkDsk
- [Системное администрирование, Хранение данных, Разработка под Windows, Софт] При обновлении Windows 10 запуск команды chkdsk повреждает файловую систему SSD
- [Информационная безопасность, Браузеры, Законодательство в IT, IT-компании] Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана
- [Информационная безопасность, Софт, IT-компании] Microsoft оказалась в списке пострадавших от взлома ПО SolarWinds
- [Процессоры, IT-компании] СМИ: Microsoft работает над собственными чипами архитектуры ARM для серверов и ноутбуков
- [Firefox, Разработка под MacOS, Разработка для Office 365, Софт] На Apple M1 заработали Firefox и Microsoft Office в нативном коде
- [Системное администрирование, Сетевые технологии] Настройка Single Sign-On в Zimbra Collaboration Suite 9 Open-Source Edition
Теги для поиска: #_attack, #_microsoft
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:42
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания Microsoft опубликовала дополнительные сведения об атаке, совершённой через компрометацию инфраструктуры компании SolarWinds и внедрение бэкдора в платформу управления сетевой инфраструктурой SolarWinds Orion, которая применялась в корпоративной сети Microsoft. Разбор инцидента показал, что атакующие получили доступ к некоторым корпоративным учётным записям Microsoft. В хоте аудита было выявлено, что с данных учётных записей производилось обращение к внутренним репозиториям с кодом продуктов Microsoft. Утверждается, что права скомпрометированных учётных записей позволили только просмотреть код, но не предусматривали возможности внесения изменений. Компания Microsoft заверила пользователей, что дополнительная проверка подтвердила отсутствие внедрения вредоносных изменений в репозиторий. Так же не было выявлено следов доступа атакующих к данным клиентов Microsoft, попыток компрометации предоставляемых сервисов и использования инфраструктуры Microsoft для совершения атак на другие компании. Напомним, что компрометация компании SolarWinds привела к внедрению бэкдора не только в сеть Microsoft, но и во многие другие компании и правительственные учреждения, пользующиеся продуктом SolarWinds Orion. Обновление SolarWinds Orion с бэкдором было установлено в инфраструктуры более 17 тысяч клиентов SolarWinds, в том числе пострадали 425 из 500 компаний из списка Fortune 500, а также крупнейшие финансовые учреждения и банки, сотни университетов, многие подразделения вооруженных сил США и Великобритании, Белый дом, АНБ, государственный департамент США и Европарламент. Среди клиентов SolarWinds также числятся такие крупные компании, как Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 и Siemens. Бэкдор позволял получить удалённый доступ к внутренней сети пользователей SolarWinds Orion. Вредоносное изменение поставлялось в составе версий SolarWinds Orion 2019.4 - 2020.2.1, выпущенных c марта по июнь 2020 года. Первые следы использования бэкдора датированы весной 2020 года. В ходе разбора инцидента всплыло наплевательское отношение к безопасности крупных поставщиков корпоративных систем. Предполагается, что доступ к инфраструктуре SolarWinds был получен через учётную запись в Microsoft Office 365. Атакующие получили доступ к сертификату SAML, применяемому для формирования цифровых подписей, и использовали данный сертификат для генерации новых токенов, допускающих привилегированный доступ к внутренней сети. До этого ещё в ноябре 2019 года сторонними исследователями безопасности отмечалось использование тривиального пароля "SolarWind123" для доступа с правом записи к FTP-серверу с обновлениями продуктов SolarWinds, а также утечка пароля одного из сотрудников SolarWinds в публичном git-репозитории. Более того, уже после выявления бэкдора, SolarWinds какое-то время продолжал распространение обновлений с вредоносными изменениями и сразу не отозвал сертификат, используемый для заверения своих продуктов цифровой подписью (проблема всплыла 13 декабря, а сертификат был отозван 21 декабря). В ответ на жалобы на вывод предупреждений системами выявления вредоносного ПО, клиентам рекомендовалось отключить проверку, списывая предупреждения на ложные срабатывания. До этого представители SolarWinds активно критиковали модель разработки СПО, сравнивая использование открытого кода с едой грязной вилкой и заявляя, что открытая модель разработки не исключает появляется закладок и только проприетарная модель может обеспечить полный контроль за кодом. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:42
Часовой пояс: UTC + 5