Hackers detrás del ataque a SolarWinds robaron código fuente de Azure, Exchange e Intune

Microsoft dijo el jueves que concluyó su investigación sobre el hack de SolarWinds y descubrió que los atacantes robaron parte del código fuente, pero confirmaron que no hay evidencia de que hayan abusado de sus sistemas internos para atacar a otras empresas o que hayan obtenido acceso a servicios de producción o datos de clientes.

La divulgación se basa en una actualización anterior del 31 de diciembre de 2020, que descubrió un compromiso de su propia red para ver el código fuente relacionado con sus productos y servicios.

“Detectamos actividad inusual con una pequeña cantidad de cuentas internas y, tras la revisión, descubrimos que se había utilizado una cuenta para ver el código fuente en varios repositorios de código fuente”, había revelado previamente el fabricante de Windows.

“La cuenta no tenía permisos para modificar ningún código o sistema de ingeniería y nuestra investigación confirmó además que no se realizaron cambios. Estas cuentas fueron investigadas y reparadas”.

Ahora, según la compañía, además de ver pocos archivos individuales buscando en los repositorios, algunos casos involucraron la descarga de código fuente de componentes relacionados con:

  • un pequeño subconjunto de componentes de Azure (subconjuntos de servicio, seguridad, identidad)
  • un pequeño subconjunto de componentes de Intune
  • un pequeño subconjunto de componentes de Exchange

“Los términos de búsqueda utilizados por el actor indican el enfoque esperado en el intento de encontrar secretos”, dijo la compañía, y agregó que una verificación posterior afirmó el hecho de que no contenían credenciales de producción en vivo.

Al calificar el ataque de la cadena de suministro de SolarWinds como un “momento de ajuste de cuentas”, Microsoft recomendó en enero a las organizaciones adoptar una “mentalidad Zero-Trust” para lograr el acceso con menos privilegios y minimizar los riesgos al permitir la autenticación de múltiples factores.

La compañía dijo que los ataques han reforzado la necesidad de adoptar la mentalidad Zero Trust y proteger las credenciales privilegiadas.

Vale la pena señalar que toda la campaña de espionaje aprovechó la confianza asociada con el software SolarWinds para insertar código malicioso que luego se distribuyó a hasta 18.000 de sus clientes.

“Zero Trust es una mentalidad proactiva”, dijo Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft. “Cuando todos los empleados de una empresa asumen que los atacantes aterrizarán en algún momento, modelan las amenazas e implementan mitigaciones para garantizar que cualquier posible explotación no pueda expandirse”.

“El valor de la defensa en profundidad (defense in depth) es que la seguridad está integrada en áreas clave que un actor podría intentar romper, comenzando en el nivel del código y extendiéndose a todos los sistemas de un extremo a otro”.

Fuente: SolarWinds Hackers Stole Some Source Code for Microsoft Azure, Exchange, Intune (thehackernews.com)