Атаковавшие SolarWinds смогли получить доступ к коду Microsoft

1 января 2021 года

Компания Microsoft опубликовала дополнительные сведения об атаке, совершённой через компрометацию инфраструктуры компании SolarWinds и внедрение бэкдора в платформу управления сетевой инфраструктурой SolarWinds Orion, которая применялась в корпоративной сети Microsoft. Разбор инцидента показал, что атакующие получили доступ к некоторым корпоративным учётным записям Microsoft. В хоте аудита было выявлено, что с данных учётных записей производилось обращение к внутренним репозиториям с кодом продуктов Microsoft.

Утверждается, что права скомпрометированных учётных записей позволили только просмотреть код, но не предусматривали возможности внесения изменений. Компания Microsoft заверила пользователей, что дополнительная проверка подтвердила отсутствие внедрения вредоносных изменений в репозиторий. Так же не было выявлено следов доступа атакующих к данным клиентов Microsoft, попыток компрометации предоставляемых сервисов и использования инфраструктуры Microsoft для совершения атак на другие компании.

Напомним, что компрометация компании SolarWinds привела к внедрению бэкдора не только в сеть Microsoft, но и во многие другие компании и правительственные учреждения, пользующиеся продуктом SolarWinds Orion. Обновление SolarWinds Orion с бэкдором было установлено в инфраструктуры более 17 тысяч клиентов SolarWinds, в том числе пострадали 425 из 500 компаний из списка Fortune 500, а также крупнейшие финансовые учреждения, сотни университетов, многие подразделения вооруженных сил США и Великобритании, Белый дом, АНБ, государственный департамент США и Европарламент. Бэкдор позволял получить удалённый доступ к внутренней сети пользователей SolarWinds Orion. Вредоносное изменение поставлялось в составе версий SolarWinds Orion 2019.4 - 2020.2.1, выпущенных c марта по июнь 2020 года. Первые следы использования бэкдора датированы весной 2020 года.

В ходе разбора инцидента всплыло наплевательское отношение к безопасности крупных поставщиков корпоративных систем. Предполагается, что доступ к инфраструктуре SolarWinds был получен через учётную запись в Microsoft Office 365. Атакующие получили доступ к сертификату SAML, применяемому для формирования цифровых подписей, и использовали данный сертификат для генерации новых токенов, допускающих привилегированный доступ к внутренней сети.

До этого ещё в ноябре 2019 года сторонними исследователями безопасности отмечалось использование тривиального пароля "SolarWind123" для доступа с правом записи к FTP-серверу с обновлениями продуктов SolarWinds, а также утечка пароля одного из сотрудников SolarWinds в публичном git-репозитории. Более того, уже после выявления инцидента, SolarWinds какое-то время продолжал распространение обновлений с бэкдором и сразу не отозвал сертификат, используемых для заверения своих продуктов цифровой подписью (проблема всплыла 13 декабря, а сертификат был отозван 21 декабря). В ответ на жалобы на вывод предупреждений системами выявления вредоносного ПО, клиентам рекомендовалось отключить проверку, списывая предупреждения на ложные срабатывания.

До этого представители SolarWinds активно критиковали (Архивная копия от 1 января 2021 на Wayback Machine) модель разработки СПО, сравнивая использование открытого кода с едой грязной вилкой и заявляя, что открытая модель разработки не исключает появляется закладок и только проприетарная модель разработки может обеспечить контроль за кодом.