Microsoft ha publicado detalles adicionales sobre el ataque que comprometió la infraestructura de SolarWinds que implementó un backdoor en la plataforma de administración de infraestructura de red SolarWinds Orion, que se utilizó en la red corporativa de Microsoft.

El análisis del incidente mostró que los atacantes obtuvieron acceso a algunas cuentas corporativas de Microsoft y durante la auditoría, se reveló que estas cuentas se utilizaron para acceder a repositorios internos con el código de productos de Microsoft.

Se alega que los derechos de las cuentas comprometidas solo permitían ver el código, pero no brindaban la posibilidad de realizar cambios.

Microsoft ha asegurado a los usuarios que una verificación adicional ha confirmado que no se han introducido cambios maliciosos en el repositorio.

Además, no se encontraron rastros del acceso de los atacantes a los datos de los clientes de Microsoft, intentos de comprometer los servicios prestados y el uso de la infraestructura de Microsoft para llevar a cabo ataques a otras empresas.

Ya que el ataque a SolarWinds condujo a la introducción de un backdoor no solo en la red de Microsoft, sino también en muchas otras empresas y agencias gubernamentales que utilizan el producto SolarWinds Orion.

La actualización del backdoor de SolarWinds Orion se ha instalado en la infraestructura de más de 17.000 clientes de SolarWinds, incluidas 425 de las 500 empresas Fortune 500 afectadas, así como importantes instituciones financieras y bancos, cientos de universidades, muchas divisiones del ejército de EE. UU. Y el Reino Unido, la Casa Blanca, NSA, Departamento de Estado de EE. UU. y el Parlamento Europeo.

Los clientes de SolarWinds también incluyen compañías importantes como Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 y Siemens.

El backdoor permitió el acceso remoto a la red interna de los usuarios de SolarWinds Orion. El cambio malicioso se envió con las versiones de SolarWinds Orion 2019.4 – 2020.2.1 lanzadas de marzo a junio de 2020.

Durante el análisis del incidente, surgió un desprecio por la seguridad de los grandes proveedores de sistemas corporativos. Se supone que el acceso a la infraestructura de SolarWinds se obtuvo a través de una cuenta de Microsoft Office 365.

Los atacantes obtuvieron acceso al certificado SAML utilizado para generar firmas digitales y utilizaron este certificado para generar nuevos tokens que permitieron el acceso privilegiado a la red interna.

Antes de esto, en noviembre de 2019, investigadores de seguridad externos notaron el uso de la contraseña trivial «SolarWind123» para el acceso de escritura al servidor FTP con actualizaciones de productos de SolarWinds, así como la filtración de la contraseña de uno de los empleados de SolarWinds en el repositorio público de git.

Además, después de que se identificó el backdoor, SolarWinds continuó distribuyendo actualizaciones con cambios maliciosos durante algún tiempo y no revocó de inmediato el certificado utilizado para firmar digitalmente sus productos (el problema surgió el 13 de diciembre y el certificado se revocó el 21 de diciembre).

En respuesta a las quejas sobre los sistemas de alerta emitidos por los sistemas de detección de malware, se alentó a los clientes a deshabilitar la verificación eliminando las advertencias de falsos positivos.

Antes de eso, los representantes de SolarWinds criticaron activamente el modelo de desarrollo de código abierto, comparando el uso de código abierto con comerse un tenedor sucio y afirmando que un modelo de desarrollo abierto no excluye la aparición de marcadores y solo un modelo propietario puede proporcionar control sobre el código.

Además, el Departamento de Justicia de EE. UU. reveló información de que los atacantes obtuvieron acceso al servidor de correo del Ministerio basado en la plataforma Microsoft Office 365. Se cree que el ataque filtró el contenido de los buzones de correo de unos 3.000 empleados del Ministerio.

Por su parte The New York Times y Reuters, sin detallar la fuente, informaron de una investigación del FBI sobre un posible vínculo entre JetBrains y el compromiso de SolarWinds. SolarWinds utilizó el sistema de integración continua TeamCity suministrado por JetBrains.

Se supone que los atacantes podrían haber obtenido acceso debido a configuraciones incorrectas o al uso de una versión no actualizada de TeamCity que contiene vulnerabilidades sin parchear.

El director de JetBrains rechazó las especulaciones sobre la conexión de la compañía con el ataque e indicó que las agencias de aplicación de la ley o los representantes de SolarWinds no los contactaron sobre un posible compromiso de TeamCity en la infraestructura de SolarWinds.

Fuente: https://msrc-blog.microsoft.com