Posté le février 20, 2021 à 17:44
LES HACKERS DE SOLARWINDS ONT ACCÉDÉ À TROIS CODES SOURCES DE MICROSOFT
Microsoft a terminé son enquête sur l’attaque de SolarWinds. Selon le géant de la technologie, les acteurs malveillants à l’origine de l’attaque n’avaient pas accès aux données des clients.
Cependant, ils ont réussi à télécharger une partie des codes sources de trois produits Microsoft – Azure, Exchange services et Intune.
Microsoft a également montré qu’il n’y avait aucune preuve que les acteurs malveillants aient utilisé un service Microsoft compromis pour attaquer un client.
La société a commencé son enquête en décembre après l’une des cyber-attaques les plus sophistiquées de l’histoire des États-Unis. Microsoft a également déclaré avoir été témoin de tentatives infructueuses de la part des acteurs malveillants en janvier, mais ces tentatives ont cessé.
La violation du réseau a été l’un des piratages les plus graves du logiciel de gestion de réseau Orion de SolarWinds.
Les hackers ont ensuite envoyé des mises à jour malveillantes à des milliers de clients. Par la suite, ils ont utilisé ces mises à jour pour pirater une centaine d’entreprises privées et neuf grandes agences fédérales.
Les acteurs sont parrainés par le groupe Kremlin
Selon les enquêtes des agences américaines, les acteurs malveillants étaient probablement financés par le groupe Kremlin.
Le rapport de Microsoft a révélé que la première consultation d’un fichier dans le dépôt de code source a eu lieu en novembre de l’année dernière.
Microsoft a également déclaré avoir découvert plusieurs tentatives des hackers pour accéder aux fichiers.
Le géant de la technologie a également déclaré que seuls quelques fichiers étaient affectés et qu’une partie importante du code source n’était pas atteinte.
Pour les fichiers concernés, certains codes d’accès supplémentaires ont été affectés.
Le rapport a également révélé que les acteurs malveillants semblent s’intéresser aux secrets cachés dans le code source et à rien d’autre.
Microsoft a ajouté que sa politique de développement n’autorise aucun secret dans le code et qu’elle conduit toujours des outils automatisés ou la vérification de toute conformité.
« Nous confirmons ainsi que les référentiels sont conformes et n’ont pas de références en direct ou en production », a répété Microsoft.
L’activité de piratage a commencé en octobre 2019 après que les hackers aient profité du logiciel SolarWinds pour effectuer un test de fonctionnement.
Cependant, la campagne s’est poursuivie jusqu’en décembre, lorsque l’équipe de sécurité FireEye a découvert la violation.
Les attaques de SolarWinds ont touché plusieurs organisations
Après que FireEye ait révélé l’incident, certaines entreprises concernées ont commencé à révéler qu’elles étaient atteintes.
Parmi les organisations concernées, citons Mimecast, Malwarebytes, et des agences américaines comme la Sécurité intérieure, les départements américains du Trésor, du Commerce et de l’Énergie.
Microsoft a révélé que les attaques ont mis en évidence deux domaines majeurs sur lesquels ils veulent mettre l’accent : la protection des références privilégiées et l’adoption de l’approche Zero Trust.
Microsoft demande aux organisations de renforcer la sécurité
Microsoft a également publié un avis et des conseils aux entreprises pour qu’elles utilisent les principes de Zero Trust (ou Confiance Zéro) lorsqu’elles protègent leurs systèmes contre des attaques critiques comme Solorigate.
Le Zero Trust utilise les données et les signaux disponibles pour vérifier l’état de la sécurité, les réseaux et les autres points d’extrémité.
La société a également déclaré qu’il est vital de protéger les justificatifs d’identité. Les organisations peuvent également déléguer la confiance aux composants sur site, notamment dans les déploiements qui relient l’infrastructure sur site au cloud.
En effet, les organisations seront exposées à des attaques de piratage si l’environnement sur site est exploité. Cela ouvrira la porte aux acteurs malveillants qui pourront lancer des attaques sur les services cloud. Microsoft a également recommandé la maîtrise de l’identité dans le Cloud.
D’autres agences de sécurité ont également conseillé les organisations sur les meilleurs moyens de protéger leurs systèmes contre les attaques. Ils ont souligné la nécessité d’utiliser l’authentification multi-facteurs, en particulier pour ceux qui permettent aux utilisateurs de se connecter à leur portail. Avec ce type d’authentification, il sera très difficile pour les hackers de passer à travers tous les contrôles de sécurité et de compromettre les réseaux.
Microsoft a déclaré avoir utilisé un système de contrôle de sécurité approfondi pour enquêter sur l’incident de piratage de SolarWinds. La société a déclaré que l’attaque aurait pu affecter ses systèmes si son personnel de cybersécurité n’avait pas repéré les attaques à temps.
En conséquence, Microsoft réitère l’importance des meilleures pratiques de sécurité pour toutes les organisations qui veulent protéger leurs données et leurs réseaux contre les acteurs malveillants.
