Microsoft va mettre en quarantaine les applications SolarWinds liées à un piratage récent

Microsoft va mettre en quarantaine les applications SolarWinds liées à un piratage récent

Microsoft a annoncé son intention de commencer à bloquer et à isoler de force les versions de l’application SolarWinds Orion qui sont connues pour contenir le malware Solorigate (SUNBURST).

La décision de Microsoft est liée à l’attaque massive de la chaîne d’approvisionnement qui a été révélée au cours du week-end et qui a touché l’éditeur de logiciels informatiques SolarWinds.


Dimanche, plusieurs médias ont rapporté que des pirates informatiques liés au gouvernement russe avaient violé SolarWinds et inséré des logiciels malveillants dans les mises à jour d’Orion, une plateforme de surveillance et d’inventaire du réseau.


Peu de temps après la mise en ligne des informations, SolarWinds a confirmé que les versions de l’application Orion 2019.4 à 2020.2.1, publiées entre mars 2020 et juin 2020, étaient contaminées par des logiciels malveillants.


Suite à la déclaration officielle de la société, Microsoft a été l’un des premiers fournisseurs de cybersécurité à confirmer l’incident SolarWinds. Le même jour, la société a ajouté des règles de détection pour le malware Solorigate contenu dans l’application SolarWinds Orion.


Cependant, ces règles de détection ne déclenchaient que des alertes et les utilisateurs de Microsoft Defender étaient autorisés à décider eux-mêmes de ce qu’ils souhaitaient faire avec l’application Orion.

LES APPLICATIONS SOLARWINDS TROJANISÉES DOIVENT ÊTRE ISOLÉES À PARTIR DE DEMAIN

Cependant, dans un court article de blog mardi, Microsoft a déclaré qu’il avait maintenant décidé de mettre de force tous les binaires de l’application Orion en quarantaine.

« À partir du mercredi 16 décembre à 8h00 PST, Microsoft Defender Antivirus commencera à bloquer les binaires SolarWinds malveillants connus. Cela mettra le binaire en quarantaine même si le processus est en cours », a déclaré Microsoft.


Le fabricant d’OS a déclaré avoir pris cette décision au profit de ses clients, même s’il s’attend à ce que la décision provoque des plantages des outils de surveillance du réseau dans les salles d’administration système.


«Il est important de comprendre que ces binaires représentent une menace importante pour les environnements des clients», a déclaré la société.


« Les clients devraient considérer tout appareil avec le binaire comme compromis et devraient déjà enquêter sur les appareils avec cette alerte », a-t-il ajouté.


Microsoft a recommandé aux entreprises de supprimer et d’enquêter sur les appareils sur lesquels les applications Orion trojanized ont été installées. Le conseil est conforme à une directive d’urgence du DHS publiée dimanche, dans laquelle l’Agence pour la cybersécurité et la sécurité des infrastructures recommandait la même chose.

Dans les documents de la SEC déposés lundi, SolarWinds estime qu’au moins 18 000 clients ont installé les mises à jour de l’application Orion trojanized et ont très probablement le malware Solorigate (SUNBURST) sur leurs réseaux internes.


Sur la grande majorité de ces réseaux, le malware est présent mais dormant. Les pirates de SolarWinds choisissent uniquement de déployer des logiciels malveillants supplémentaires sur les réseaux de quelques cibles de grande valeur. Les victimes actuellement connues des attaques de ce groupe comprennent:


  • Firme américaine de cybersécurité FireEye
  • Le département du Trésor américain
  • La National Telecommunications and Information Administration (NTIA) du Département américain du commerce
  • Les National Institutes of Health (NIH) du ministère de la Santé
  • L’Agence de la cybersécurité et des infrastructures (CISA)
  • Le Département de la sécurité intérieure (DHS)
  • Le département d’État américain

Pour plus d’information : https://www.zdnet.com/article/microsoft-to-quarantine-solarwinds-apps-linked-to-recent-hack-starting-tomorrow/

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité