0
0
A Microsoft concluiu sua investigação interna sobre o incidente de segurança Solorigate (SolarWinds) e descobriu que os invasores estavam muito interessados no código de várias soluções da Microsoft. Os invasores visualizaram alguns arquivos aqui e ali, mas também conseguiram baixar o código-fonte de um “pequeno número de repositórios”, e isso inclui o código de alguns componentes importantes do Microsoft Azure.
O que os atacantes fizeram e não fizeram
A Microsoft fez questão de apontar que não encontrou nenhuma evidência de que os invasores acessassem os serviços de produção ou dados do cliente, ou de que eles conseguiram usar os sistemas da Microsoft para montar ataques contra outros alvos, obter acesso a credenciais privilegiadas ou usar as técnicas SAML contra domínios corporativos da empresa.
Por outro lado, os invasores conseguiram visualizar arquivos de uma variedade de repositórios de código-fonte da Microsoft e baixar o código-fonte de um pequeno subconjunto de componentes do Azure (subconjuntos de serviço, segurança, identidade), bem como componentes do Intune e do Exchange.
É provável que eles queiram usar as informações coletadas desses arquivos para descobrir vulnerabilidades em potencial e criar métodos, explorações ou avenidas de ataques futuros.
“Os termos de busca usados pelo ator indicam o foco esperado na tentativa de encontrar segredos. Nossa política de desenvolvimento proíbe segredos no código e executamos ferramentas automatizadas para verificar a conformidade. Por causa da atividade detectada, iniciamos imediatamente um processo de verificação para ramificações atuais e históricas dos repositórios. Confirmamos que os repositórios estavam em conformidade e não continham nenhuma credencial de produção ao vivo ”, explicou a equipe do MSRC .
Aumentando as defesas
A empresa diz que o motivo pelo qual o escopo e o impacto desse incidente foram limitados é porque eles optaram por uma mentalidade de confiança zero , segurança em camadas e proteção de credenciais.
Vasu Jakkal, CVP de segurança, conformidade e identidade da Microsoft, apresentou dicas e links para ajudar outras organizações a fazer o mesmo.
“Sabemos que todos temos um papel importante a desempenhar no fortalecimento e empoderamento da comunidade de defensores em geral. Foi ótimo ver esse compartilhamento em ação em dezembro, quando a FireEye alertou a comunidade sobre uma ‘campanha global de intrusão’ ”, observou ela.
“Encorajamos todas as empresas, de todos os tamanhos, a trabalhar com a comunidade para compartilhar informações, fortalecer as defesas e responder a ataques.”
FONTE: HELPNET SECURITY