SolarWinds : du code source d’Azure, Exchange et Intune dérobé



SolarWinds : du code source d’Azure, Exchange et Intune dérobé

Microsoft affirme avoir terminé son enquête sur la fuite de données liée au piratage de SolarWinds et indique que d’autres codes sources ont été dérobés par les attaquants.

L’équipe de sécurité de Microsoft a annoncé hier avoir officiellement terminé son enquête sur la fuite de données liée à SolarWinds. L’éditeur indique n’avoir aucune preuve que les attaquants aient abusé de ses systèmes internes ou de ses produits officiels pour pivoter et attaquer les utilisateurs finaux et les clients professionnels.

Microsoft a commencé à enquêter sur cette fuite de données à la mi-décembre, après avoir découvert que des pirates informatiques liés à la Russie avaient pénétré dans le système SolarWinds et inséré des logiciels malveillants dans le logiciel de supervision informatique Orion, un produit que Microsoft avait également déployé en interne.

Dans un article publié sur son blog le 31 décembre, Microsoft a déclaré avoir découvert que des pirates informatiques avaient utilisé l’accès qu’ils avaient obtenu grâce à l’application SolarWinds Orion pour se connecter au réseau interne de Microsoft, où ils ont accédé au code source de plusieurs projets internes.

« Notre analyse montre que la première consultation d’un fichier dans un dépôt a eu lieu fin novembre et a cessé lorsque nous avons sécurisé les comptes concernés », a déclaré la société hier dans son rapport final sur cet incident de sécurité.

Microsoft a déclaré qu’après avoir coupé les accès, les attaquants ont continué à essayer d’accéder aux comptes de Microsoft tout au long du mois de décembre et même jusqu’au début du mois de janvier 2021, quelques semaines après la divulgation de l’incident de SolarWinds, et même après que Microsoft a clairement indiqué enquêter sur l’incident.

« Il n’y a pas eu de cas où tous les dépôts liés à un seul produit ou service ont été consultés », a déclaré l’équipe de sécurité de la société. « Il n’y a pas eu d’accès à la grande majorité du code source.

« Au lieu de cela, Microsoft a expliqué que les intrus n’avaient consulté « que quelques fichiers individuels » à la suite d’une recherche dans le dépôt.

Microsoft a déclaré qu’en se basant sur les recherches que les attaquants avaient effectué dans leurs dépôts de code, les intrus semblaient s’être concentrés sur la localisation de secrets (token d’accès) qu’ils pourraient utiliser pour étendre leur accès à d’autres systèmes Microsoft.La société de Redmond a déclaré que ces recherches avaient échoué en raison de pratiques de codage interne qui interdisent aux développeurs de stocker des secrets dans le code source.

Microsoft a déclaré qu’en se basant sur les recherches que les attaquants avaient effectué dans leurs dépôts de code, les intrus semblaient s’être concentrés sur la localisation de secrets (token d’accès) qu’ils pourraient utiliser pour étendre leur accès à d’autres systèmes Microsoft.

La société de Redmond a déclaré que ces recherches avaient échoué en raison de pratiques de codage interne qui interdisent aux développeurs de stocker des secrets dans le code source.

Des codes sources téléchargés

Mais au-delà de la visualisation des fichiers, les pirates ont également réussi à télécharger du code. Cependant, Microsoft a déclaré que les données n’étaient pas complètes et que les intrus n’avaient téléchargé que le code source de quelques composants liés à certains de ses produits basés sur le cloud.

Selon Microsoft, ces dépôts contenaient du code pour :

*un petit sous-ensemble de composants Azure (sous-ensembles de service, de sécurité, d’identité)

*un sous-ensemble de composants d’Intuneun

*sous-ensemble de composantes d’Exchange

Dans l’ensemble, l’incident ne semble pas avoir endommagé les produits de Microsoft ni avoir conduit les pirates informatiques à accéder aux données des utilisateurs.


Pour plus d’information : https://www.zdnet.fr/actualites/solarwinds-du-code-source-d-azure-exchange-et-intune-derobe-39918223.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité