本周四,微软宣布SolarWinds供应链攻击事件的幕后策划者成功访问并下载到一部分微软产品源代码,但目前没有迹象表明攻击者访问了生产服务器或客户数据。微软公司还强调,并未发现黑客利用此次入侵进一步攻击微软客户的行为。
在得知遭遇网络攻击后,微软在2020年12月发布了初步调查报告,并于近日更新了上述发现。在这一波规模浩大的入侵行动中,攻击者在SolarWinds公司的流行网管软件Orion植入恶意代码,借此向包括美国政府、微软、思科在内的约18000家客户推送了恶意更新。
美国白宫在本周三透露,该黑客团伙随后利用这些恶意更新入侵了9大联邦机构与约100家私营企业。白宫方面认为,此次事件很可能出自俄罗斯政府之手。
微软公司在本周四更新的报告中表示,对SolarWinds攻击活动的调查已经正式结束。
报告提到,“分析结果表明,黑客方面于去年11月下旬首次接触到源存储库内的文件。在我们对受影响账户进行紧急保护后,入侵通道被成功关闭。但对方仍在不断尝试,直到2021年1月才彻底放弃这种徒劳的努力。”
微软公司称,绝大多数源代码未受到影响,少数遭入侵的存储库中,对方只接触到“极少量”搜索出的个别文件。受到纵深防御设计的保障,任何入侵者都无法一次性访问特定产品或服务所对应的全部存储库。
但攻击者在这“极少量”存储库中确实获得了较高的访问权限,并从中下载到部分源代码。受影响的存储库包含以下代码:
小部分Azure组件(服务、安全、身份等组件)
小部分Intune组件
小部分Exchange组件
这份报告还补充道,根据搜索行为显示,攻击者似乎是想获取源代码中包含的“secret”(密钥)信息。
微软表示,“我们的内部开发规范严禁在代码中包含secret,而且一直使用自动化工具验证产品合规性。在检测到恶意活动之后,我们立即开始对存储库的当前及历史分支进行验证,并确认所有存储库均符合合规性要求,其中不包含任何实时生产环境凭证。”
微软安全、合规与身份管理事务副总裁Vasu Jakkal认为,“这类攻击已经让零信任理念与高权限凭证保护成为一种必要性举措。”
零信任是一种更为积极的安全态度。只有企业内的每一位员工都意识到攻击者随时可能出身,他们才会认真进行威胁建模并采取缓解措施,确保任何潜在入侵都不致蔓延失控。
零信任理念的价值在于,攻击者可能尝试入侵的一切区域都已经部署有安全保障机制。这种保障始于代码层级,并以端到端的方式覆盖到所有系统。
原文链接:
https://arstechnica.com/information-technology/2021/02/microsoft-says-solarwinds-hackers-stole-source-code-for-3-products/
https://thehackernews.com/2021/02/solarwinds-hackers-stole-some-source.html
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
