Actualités

Microsoft et SolarWinds en litige sur les attaques des États-nations

Par Gabriel, le 11 février 2021 — microsoft — 5 minutes de lecture
Microsoft et SolarWinds en litige sur les attaques des États-nations

Les enquêtes sur le vecteur d’attaque initial utilisé dans le piratage de la chaîne d’approvisionnement de SolarWinds ont conduit à un désaccord apparent entre SolarWinds et Microsoft.

Dans des articles de blog séparés la semaine dernière, les deux sociétés ont fourni des mises à jour sur leurs enquêtes en cours sur la manière dont les acteurs des États-nations ont initialement compromis l’environnement de SolarWinds. Ce compromis a conduit les acteurs de la menace des États-nations à accéder à l’environnement de développement du logiciel de gestion informatique Orion de SolarWinds; les pirates ont placé une porte dérobée dans les mises à jour logicielles de la plate-forme Orion, qui ont été fournies à des milliers de clients SolarWinds l’année dernière.

Dans une annonce mercredi dernier, le PDG de SolarWinds, Sudhakar Ramakrishna, a déclaré que les acteurs de la menace derrière l’attaque étaient entrés dans l’environnement Office 365 de SolarWinds avant de passer à l’environnement de développement Orion. Il a déclaré que « les vecteurs d’attaque les plus probables venaient d’une compromission d’informations d’identification et / ou d’un accès via une application tierce via une vulnérabilité zero-day à l’époque ».

Ramakrishna a déclaré que l’enquête « n’a pas identifié de vulnérabilité spécifique dans Office 365 » que les acteurs de la menace auraient pu utiliser pour pénétrer dans l’environnement, mais il a déclaré que l’enquête était en cours et pourrait durer plusieurs mois de plus.

Netcost-Security a contacté SolarWinds pour obtenir des commentaires supplémentaires sur la possibilité qu’une vulnérabilité Microsoft soit exploitée dans l’attaque. L’entreprise a refusé.

Le lendemain, Microsoft a publié sa propre déclaration qui semblait repousser l’idée qu’une vulnérabilité Office 365 était à blâmer pour la violation de SolarWinds. Dans un article de blog de l’équipe de sécurité Microsoft, la société a déclaré que son enquête n’avait révélé aucune preuve qu’elle avait été attaquée via le logiciel de messagerie. Les deux blogs indiquent que d’autres vecteurs d’attaque initiaux ont été découverts en dehors de SolarWinds.

Le billet de blog de Microsoft comprenait un dépôt SolarWinds 8K de décembre. Selon le blog, certains ont interprété le libellé de ce dépôt comme signifiant qu’ils étaient au courant ou enquêtaient sur un vecteur d’attaque lié à Microsoft Office 365. On ne sait pas pourquoi Microsoft a revisité le fichier daté.

«SolarWinds utilise Microsoft 365 pour ses outils de productivité de messagerie et de bureau. SolarWinds a été mis au courant d’un vecteur d’attaque qui a été utilisé pour compromettre les e-mails de l’entreprise et peut avoir donné accès à d’autres données contenues dans les outils de productivité de bureau de l’entreprise», indique le dossier.

Microsoft a déclaré que son enquête ne corroborait pas ces conclusions et a indiqué que la déclaration de Ramakrishna de la veille était une confirmation.

«Nous avons enquêté de manière approfondie et n’avons aucune preuve qu’ils ont été attaqués via Office 365. Le libellé du dépôt SolarWinds 8K était malheureusement ambigu, ce qui a conduit à une interprétation erronée et à des spéculations, ce qui n’est pas étayé par les résultats de notre enquête. SolarWinds a confirmé ces résultats dans leur blog du 3 février 2021 « , indique le blog.

Netcost-Security a contacté Microsoft pour de plus amples commentaires sur la question. Un porte-parole de la société a publié la déclaration suivante, réitérant la réponse précédente de Microsoft.

« Nous avons mené une enquête approfondie et n’avons trouvé aucune preuve qu’ils aient été attaqués via nos produits ou services. SolarWinds a confirmé ces résultats dans son blog le 3 février 2021. »

Cependant, une source au courant de l’enquête a déclaré à Netcost-Security que SolarWinds était toujours à la recherche de nombreuses voies potentielles par lesquelles les attaquants auraient pu pénétrer initialement et l’un d’entre eux est Microsoft.

Le billet de blog de Microsoft a abordé d’autres rapports concernant les attaques SolarWinds. Dans une alerte le 17 décembre, la Cybersecurity Infrastructure and Security Agency (CISA) a déclaré avoir des preuves de l’existence de vecteurs d’accès initiaux autres que la plate-forme SolarWinds Orion. L’agence gouvernementale a déclaré qu’elle « avait identifié l’abus de compte légitime comme l’un de ces vecteurs ». Microsoft répond à cette alerte dans le blog, en répondant à une question: « Microsoft a-t-il été d’une manière ou d’une autre un point d’entrée initial pour l’acteur Solorigate? »

« Non. Dans nos enquêtes à ce jour, les données hébergées dans les services Microsoft (y compris les e-mails) étaient parfois la cible d’incidents, mais l’attaquant avait obtenu des informations d’identification privilégiées d’une autre manière », indique le blog.

Selon la mise à jour de Ramakrishna, les informations d’identification des employés ont été compromises, mais il n’a pas précisé comment ils étaient accessibles. Il a cependant confirmé que des acteurs sophistiqués se trouvaient dans l’environnement et ont effectué une reconnaissance avant l’essai mené sur le logiciel SolarWinds Orion construit en octobre 2019, bien que l’éditeur du logiciel n’ait pas déterminé la date exacte.

«Nous avons confirmé qu’un compte de messagerie SolarWinds avait été compromis et utilisé pour accéder par programme aux comptes du personnel SolarWinds ciblé dans des rôles commerciaux et techniques. En compromettant les informations d’identification des employés de SolarWinds, les acteurs de la menace ont pu accéder à notre environnement de développement Orion et l’exploiter. », A écrit Ramakrishna.

L’e-mail utilisé était Office 365.

Microsoft a été l’une des nombreuses entreprises de SolarWind à être touchée par l’attaque de la chaîne d’approvisionnement. Microsoft a informé SolarWinds le 13 décembre 2020 d’un compromis lié à leur environnement Office 365.

Gabriel

Gabriel

La tech va chaque jour plus vite et il peut-être difficile de suivre cette thématique. Grâce à mes articles, j'espère vous faire ressortir les sujets importants et intéressants afin de ne rien louper cette actualité toujours en pleine agitation.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.