A Microsoft disse não ter encontrado evidências de que os invasores obtiveram acesso ao código-fonte de alguns de seus produtos, serviços ou dados de clientes no ataque à cadeia de suprimentos da SolarWinds, que ela chama de “Solorigate”. A empresa, que classifica o ataque de um “momento de ajuste de contas”, declarou na quinta-feira, 18, que concluiu a investigação interna para saber qual foi o comprometimento de sua própria rede.
A gigante do software enfatizou que seus investigadores concluíram que nem os serviços da empresa nem seus softwares foram usados para atacar terceiros.
A conclusão da investigação ocorre menos de dois meses depois de a Microsoft ter revelado que invasores teriam visualizado parte do código-fonte de seus produtos e serviços. Em um comunicado emitido em 18 de fevereiro, o Microsoft Security Response Center (MSRC) revelou que os invasores viram repositórios de código-fonte específicos em busca de senhas e “segredos” de desenvolvimento usados como chaves para proteger aplicativos depois de compilados.
A investigação divulgada agora descobriu que apenas “um pequeno número de repositórios [de código]” foi acessado pelos invasores, incluindo um pequeno subconjunto de componentes do Azure, Intune e Exchange”.
“Os termos de pesquisa usados pelos invasores indicam que o objetivo era encontrar segredos”, afirma o MSRC em uma postagem no blog corporativo, acrescentando que a política da empresa proíbe qualquer senha ou segredo de assinatura de código no código. A Microsoft automatiza a verificação desta política, mas verificou duas vezes o código durante a resposta a incidentes. “Confirmamos que os repositórios estavam em conformidade e não continham nenhuma credencial de produção ao vivo”, escreveram os funcionários.
Veja isso
Mais de 1.000 devs podem ter trabalhado no ataque à SolarWinds
Invasores da SolarWinds acessaram código-fonte da Microsoft
“Hoje, ao encerrarmos nossa investigação interna do incidente e continuamos a ver uma oportunidade urgente para os defensores de todos os lugares unirem e protegerem o mundo de uma forma mais combinada”, disse Vasu Jakkal, vice-presidente corporativa de segurança, conformidade e identidade da Microsoft.
A velocidade com que a Microsoft encerrou sua investigação fez, no entanto, com que alguns profissionais de segurança questionassem o rigor da empresa. “Os profissionais que respondem a incidentes estão na difícil posição de ter que declarar uma negativa [que os invasores não obtiveram acesso significativo] “, disse Joe Slowik, pesquisador sênior de ameaças da empresa de infraestrutura de rede DomainTools, em declaração à InformationWeek.
“A Microsoft dizendo que [os atacantes] não conseguiram acesso, ponto final, parece muito rápido”, disse ele, embora reconheça que a empresa está em uma posição melhor para fazer tais declarações, na comparação com a maioria da indústria. Slowik questionou, no entanto, a sensatez em declarar encerrada a investigação.