Microsoft publie son rapport final sur la cyberattaque SolarWinds

Microsoft a publié son rapport final sur la cyberattaque massive de SolarWinds, fournissant quelques détails supplémentaires concernant ses découvertes et son implication. Le rapport confirme que les attaquants ont réussi à accéder aux référentiels de code pour plusieurs produits Microsoft, y compris l'accès au code source du produit.

Bien qu'un attaquant accédant au code source semble inquiétant, le rapport de Microsoft a souligné que les référentiels accédés ne contenaient aucune «information d'identification de production en direct».

Microsoft publie le rapport final SolarWinds

Le rapport final SolarWinds de Microsoft est disponible pour lecture sur le blog Microsoft Security Response Center .

Il y a quelques points à retenir du dernier rapport concernant SolarWinds.

Premièrement, Microsoft "n'a trouvé aucune indication que nos systèmes chez Microsoft étaient utilisés pour attaquer d'autres personnes".

Bien que cela puisse sembler être une réponse standard, Microsoft et SolarWinds (la société dont le logiciel Orion a été le point de départ de l'attaque) se sont constamment disputés pour savoir quelle société avait été la première victime du piratage de la chaîne d'approvisionnement .

Deuxièmement, le rapport de Microsoft confirme que les attaquants ont bien accédé à plusieurs référentiels contenant le code source des produits Microsoft.

Il n'y avait aucun cas où tous les référentiels liés à un seul produit ou service ont été consultés. Il n'y avait pas d'accès à la grande majorité du code source. Pour presque tous les référentiels de code consultés, seuls quelques fichiers individuels ont été visualisés à la suite d'une recherche dans le référentiel.

Le rapport a ensuite détaillé certains des référentiels auxquels les attaquants ont obtenu un accès supplémentaire:

  • un petit sous-ensemble de composants Azure (sous-ensembles de service, sécurité, identité)
  • un petit sous-ensemble de composants Intune
  • un petit sous-ensemble de composants Exchange

Dans ces référentiels, les attaquants tentaient de «trouver des secrets», qu'il s'agisse de vulnérabilités, de portes dérobées ou de données. Microsoft ne travaille pas avec des secrets dans son code publiable, il n'y avait donc rien à trouver. Cependant, en raison de l'ampleur de la violation et de la gamme de cibles, Microsoft a procédé à une vérification complète de sa base de code.

Connexes: Microsoft révèle que les attaquants SolarWinds ont accédé au code source

Ce que Microsoft a appris de SolarWinds

Pour Microsoft et la plupart des autres sociétés de technologie et de sécurité impliquées dans la cyberattaque SolarWinds, la plus grande leçon est que des attaques aussi énormes peuvent se produire, apparemment sans avertissement, à partir d'un attaquant caché silencieusement hors de vue pendant une longue période.

Une menace suffisamment avancée, telle qu'un acteur de la menace d'un État-nation, peut entasser des ressources dans une opération de grande envergure, pénétrant plusieurs entreprises technologiques et de nombreux départements gouvernementaux américains.

Même si Microsoft a établi ce qu'il pensait être la cible réelle de l'attaquant SolarWinds , l'attaque était si large que nous pourrions ne jamais vraiment comprendre combien de données ont été volées ou comment elles seront utilisées à l'avenir.