Solorigate (SolarWinds) : les attaquants ont eu accès à du code source de Microsoft

Le par Jérôme G.  |  4 commentaire(s)
windows-securite

Pour trois produits de Microsoft, des attaquants ont eu accès à du code source dans le cadre de la cyberattaque SolarWinds.

Microsoft a bouclé son enquête interne sur l'incident Solorigate. C'est l'autre nom donné pour la cyberattaque qui avait eu pour point de départ une compromission de la chaîne d'approvisionnement de SolarWinds avec son produit Orion.

Du code malveillant avait été injecté dans des mises à jour de cette plateforme de gestion et de surveillance de l'infrastructure informatique dans des environnements sur site, hybrides et SaaS (Software as a Service).

Avec les indicateurs de compromission, Microsoft avait détecté en décembre des binaires malveillants de SolarWinds dans son environnement. Après isolation et suppression, le groupe de Redmond avait assuré ne pas avoir trouvé de preuve d'un accès à des services de production ou des données de clients, tout en soulignant que ses systèmes n'ont pas été utilisés pour attaquer d'autres cibles.

cybersecurite

Accès sans conséquence à du code source

Aujourd'hui, Microsoft confirme ses premières conclusions, tout en précisant que les attaquants ont pu avoir accès à des dépôts. Ils contenaient du code source pour un " petit sous-ensemble de composants " Azure (plateforme cloud ; service, sécurité et identité), Intune (gestion des appareils mobiles et d'applications mobiles) et Exchange (messagerie professionnelle).

D'après Microsoft, le but des attaquants était de trouver des " secrets " comme par exemple un token d'accès pouvant être utilisé pour une intrusion dans d'autres systèmes. Une tentative qui a échoué compte tenu de la politique de développement mise en place par Microsoft qui interdit ce type d'intégration dans le code source, et avec des outils automatisés pour le vérifier.

Selon l'analyse de Microsoft, les attaquants ont pour la première fois consulté un fichier dans un dépôt source fin novembre 2020. Après la sécurisation des comptes concernés, des tentatives d'accès - infructueuses - ont perduré jusqu'à début janvier 2021.


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Le #2122398
Les attaquants c'est les devs de wine,je vois pas qui d'autre pourrait s'intéresser aux sources windows
FRANCKYIV Absent VIP icone 49614 points
Premium
Le #2122403
Yves6 a écrit :

Les attaquants c'est les devs de wine,je vois pas qui d'autre pourrait s'intéresser aux sources windows


On ne parle pas de Windows dans le cas présent :

Azure (plateforme cloud ; service, sécurité et identité), Intune (gestion des appareils mobiles et d'applications mobiles) et Exchange (messagerie professionnelle).
Dublab Absent VIP icone 5329 points
Le #2122429
FRANCKYIV a écrit :

Yves6 a écrit :

Les attaquants c'est les devs de wine,je vois pas qui d'autre pourrait s'intéresser aux sources windows


On ne parle pas de Windows dans le cas présent :

Azure (plateforme cloud ; service, sécurité et identité, Intune (gestion des appareils mobiles et d'applications mobiles) et Exchange (messagerie professionnelle).


Voilà.
sansimportance Hors ligne VIP icone 7392 points
Le #2122473
"...Après isolation et suppression, le groupe de Redmond avait assuré ne pas avoir trouvé de preuve d'un accès à des services de production ou des données de clients..."
ne pas trouver de preuve ne veut pas dire que ça ne s'est pas passé

"...tout en soulignant que ses systèmes n'ont pas été utilisés pour attaquer d'autres cibles...."
Idem, pas de preuve non plus
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar