Solorigate envolveu acesso a codigo da Azure, Exchange e Intune

Apesar disso empresa afirma que invasores não abusaram dessas informações com ataque a sistemas internos ou produtos oficiais
Da Redação
19/02/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Microsoft anunciou ontem a conclusão das suas investigações do caso Solorigate, que envolveu a contaminação da plataforma Orion, da SolarWinds, por um grupo APT supostamente de origem russa. O relatório final afirma que “(…) não encontramos evidências de acesso a serviços de produção ou dados de clientes. A investigação também não encontrou nenhuma indicação de que nossos sistemas na Microsoft foram usados ​​para atacar terceiros. Por causa de nossas proteções de defesa profunda, o ator também não foi capaz de obter acesso a credenciais privilegiadas ou aproveitar as técnicas de SAML contra nossos domínios corporativos”.

A empresa informou que “não havia acesso à grande maioria do código-fonte. Para quase todos os repositórios de código acessados, apenas alguns arquivos individuais foram visualizados como resultado de uma pesquisa no repositório” e que os invasores fizeram estes downloads:

  • um pequeno subconjunto de componentes do Azure (subconjuntos de serviço, segurança, identidade)
  • um pequeno subconjunto de componentes do Intune
  • um pequeno subconjunto de componentes do Exchange

Veja isso
Mais quatro fornecedores de cyber atingidos no Solorigate
Um quinto das vítimas do ataque à SolarWinds são do setor de manufatura

As investigações mostraram que “os termos de pesquisa usados ​​pelo ator indicam o foco esperado na tentativa de encontrar segredos. Nossa política de desenvolvimento proíbe segredos no código e executamos ferramentas automatizadas para verificar a conformidade. Por causa da atividade detectada, iniciamos imediatamente um processo de verificação para ramificações atuais e históricas dos repositórios. Confirmamos que os repositórios estavam em conformidade e não continham nenhuma credencial de produção ao vivo”.

A Microsoft disse que detectou atividade incomum em sua rede em dezembro e logo tomou medidas para proteger os sistemas: “Nossa análise mostra que a primeira visualização de um arquivo em um repositório de origem foi no final de novembro e terminou quando protegemos as contas afetadas. Continuamos a ver tentativas malsucedidas de acesso do ator até o início de janeiro de 2021, quando as tentativas pararam”.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório