Microsoft bloque les logiciels malveillants Sunburst à la racine de SolarWinds Hack
Microsoft bloque désormais la porte dérobée Sunburst utilisée dans la cyberattaque SolarWinds qui a fait de nombreuses victimes dans le monde.
La porte dérobée Sunburst est une caractéristique clé de l'attaque de la chaîne d'approvisionnement en cours, et la publication d'une signature mondiale de malware devrait considérablement réduire la menace.
Qu'est-ce que la cyberattaque SolarWinds?
En décembre 2020, de nombreuses agences gouvernementales américaines ont annoncé avoir été victimes d'une vaste opération de piratage. La porte dérobée de l'attaque a été insérée à l'aide d'une mise à jour malveillante via le logiciel de gestion informatique et de surveillance à distance SolarWinds Orion.
Au moment de la rédaction de cet article, le piratage de SolarWinds a revendiqué le Trésor américain, ainsi que les départements de la sécurité intérieure, de l'État, de la défense et du commerce comme victimes, avec un potentiel de révélations supplémentaires.
La véritable ampleur de l'attaque SolarWinds n'est pas encore connue. S'adressant à la BBC , le chercheur en cybersécurité, le professeur Alan Woodward, a déclaré: "Après la guerre froide, c'est l'une des pénétrations potentiellement les plus importantes des gouvernements occidentaux que je connaisse."
Qu'est-ce que la porte dérobée Sunburst?
Une attaque aussi vaste a nécessité des mois, voire des années de planification. L'attaque a été déclenchée avec la livraison d'une mise à jour malveillante non découverte du logiciel SolarWinds Orion.
À l'insu de SolarWinds et de ses utilisateurs, dont beaucoup sont des services gouvernementaux, un acteur menaçant avait infecté une mise à jour.
La mise à jour a été déployée auprès d'au moins 18 000 clients et potentiellement jusqu'à 300 000 clients. Lorsqu'elle est activée, la mise à jour a déclenché une version cheval de Troie du logiciel Orion, permettant à l'attaquant d'accéder à l'ordinateur et au réseau plus large.
Ce processus est connu sous le nom d'attaque de la chaîne d'approvisionnement. Le piratage a été découvert par FireEye, eux-mêmes victimes d'une violation de données de haut niveau en décembre 2020.
Le résumé du rapport FireEye se lit comme suit:
Les acteurs derrière cette campagne ont eu accès à de nombreuses organisations publiques et privées à travers le monde. Ils ont eu accès aux victimes via des mises à jour trojanized du logiciel de surveillance et de gestion informatique Orion de SolarWind. Cette campagne a peut-être commencé dès le printemps 2020 et est actuellement en cours. L'activité post-compromis suite à ce compromis sur la chaîne d'approvisionnement a inclus des mouvements latéraux et le vol de données.
Sunburst, alors, est le nom avec lequel FireEye suit la cyberattaque et le nom donné au malware distribué via le logiciel SolarWinds.
Comment Microsoft bloque-t-il la porte dérobée Sunburst?
Microsoft déploie des détections pour ses outils de sécurité. Une fois la signature du logiciel malveillant déployée sur la sécurité Windows (anciennement Windows Defender), les ordinateurs exécutant Windows 10 seront protégés contre le logiciel malveillant.
Selon le blog de l' équipe Microsoft 365 Defender Threat Intelligence :
À compter du mercredi 16 décembre à 8 h 00 PST, Microsoft Defender Antivirus commencera à bloquer les binaires SolarWinds malveillants connus. Cela mettra le binaire en quarantaine même si le processus est en cours d'exécution.
Microsoft propose également les étapes de sécurité supplémentaires suivantes si vous rencontrez le malware Sunburst:
- Isolez immédiatement le ou les périphériques infectés. Il est fort probable que si vous trouvez le malware Sunburst, votre appareil soit probablement sous le contrôle d'un attaquant.
- Si des comptes ont été utilisés sur l'appareil infecté, vous devez les considérer comme compromis. Réinitialisez tout mot de passe relatif au compte ou désactivez complètement le compte.
- Si possible, commencez à rechercher comment l'appareil a été compromis.
- Si possible, commencez à rechercher des indicateurs indiquant que le logiciel malveillant s'est déplacé vers d'autres appareils, ce que l'on appelle un mouvement latéral.
Pour la plupart des gens, les deux premières étapes de sécurité sont les plus importantes. Vous pouvez également trouver plus d'informations sur la sécurité sur le site SolarWinds .
Il n'y a pas de confirmation de l'identité des attaquants, mais on pense que le travail est le travail d'une équipe de piratage de l'État-nation hautement sophistiquée et disposant de ressources suffisantes.