SolarWinds tedarik zinciri hackin’de kullanılan ilk saldırı vektörüne yönelik araştırmalar, SolarWinds ve Microsoft arasında bariz bir anlaşmazlığa yol açtı. Bu saldırı bir çok kişinin dikkatini çekti ve bir çok kişi bu saldırıyı konuşuyor.
Blog gönderilerinde, iki şirket, ulus devlet aktörlerinin başlangıçta SolarWinds’in ortamını nasıl tehlikeye attığına dair devam eden araştırmalarına ilişkin güncellemeler sağladı.
Bu uzlaşma, ulus devlet tehdit aktörlerinin SolarWinds’in Orion BT yönetim yazılımı için geliştirme ortamına erişmesine yol açtı; bilgisayar korsanları, geçen yıl binlerce SolarWinds müşterisine verilen Orion platformu yazılım güncellemelerine bir arka kapı yerleştirdiler.
SolarWinds CEO’su Sudhakar Ramakrishna yaptığı duyuruda
Saldırının arkasındaki tehdit aktörlerinin Orion geliştirme ortamına geçmeden önce SolarWinds’in Office 365 ortamına girdiğini söyledi. “En olası saldırı vektörlerinin, kimlik bilgilerinin ve / veya sıfırıncı gün güvenlik açığı aracılığıyla üçüncü taraf bir uygulama aracılığıyla erişimin ihlal edildiğini” söyledi.
Ramakrishna, soruşturmanın tehdit aktörlerinin ortama girmek için kullanabilecekleri “Office 365’te belirli bir güvenlik açığı tespit etmediğini” söyledi, ancak soruşturmanın devam ettiğini ve birkaç ay daha sürebileceğini söyledi.
SearchSecurity, saldırıda bir Microsoft güvenlik açığından yararlanılma olasılığı hakkında ek yorumlar için SolarWinds ile iletişime geçti. Şirket reddetti.
Ertesi gün Microsoft, SolarWinds ihlalinden Office 365 güvenlik açığının sorumlu olduğu fikrini geri iten bir açıklama yaptı.
Microsoft Güvenlik Ekibi’nden bir blog gönderisinde şirket, araştırmasının e-posta yazılımı aracılığıyla saldırıya uğradığına dair hiçbir kanıt bulamadığını söyledi. Her iki blog da, SolarWinds dışında başka ilk saldırı vektörlerinin keşfedildiğini aktarıyor.
Dahil Microsoft’un blog post bir SolarWinds oldu 8K dosyalama Aralık. Bloga göre, bazıları bu dosyadaki ifadeyi Microsoft Office 365 ile ilgili bir saldırı vektörünün farkında oldukları veya araştırmakta oldukları anlamına gelecek şekilde yorumladı.
Microsoft’un eski dosyayı neden yeniden ziyaret ettiği belli değil.
Dosyada, “SolarWinds, e-posta ve ofis üretkenliği araçları için Microsoft 365 kullanıyor. SolarWinds, şirketin e-postalarını tehlikeye atmak için kullanılan bir saldırı vektöründen haberdar edildi ve şirketin ofis üretkenliği araçlarında bulunan diğer verilere erişim sağlamış olabilir” dedi.
Microsoft, soruşturmasının bu bulguları desteklemediğini söyledi ve onay olarak Ramakrishna’nın önceki gün yaptığı açıklamaya işaret etti.
“Kapsamlı bir şekilde araştırdık ve Office 365 aracılığıyla saldırıya uğradıklarına dair hiçbir kanıtımız yok. SolarWinds 8K dosyalarının ifadesi maalesef belirsizdi, hatalı yorumlamalara ve spekülasyonlara yol açıyor ve bu da araştırmamızın sonuçlarıyla desteklenmiyor. SolarWinds bu bulguları doğruladı onların içinde blogunda 3 Şubat 2021 tarihinde,” blog yazısı söyledi.
SearchSecurity, konuyla ilgili daha fazla yorum için Microsoft ile iletişime geçti. Bir şirket sözcüsü, Microsoft’un daha önceki yanıtını yineleyerek aşağıdaki açıklamayı yayınladı.
“Kapsamlı bir şekilde araştırdık ve ürünlerimiz veya hizmetlerimiz yoluyla saldırıya uğradıklarına dair hiçbir kanıt bulamadık. SolarWinds bu bulguları 3 Şubat 2021 tarihli blogunda doğruladı.”
Bununla birlikte, araştırmanın bilgisine sahip bir kaynak, SearchSecurity’e Ramakrishna’nın güncellemesinin mesajı olmadığını söyledi ve SolarWinds, saldırganların başlangıçta kullanabilecekleri birçok potansiyel yolu araştırdığını ve bunlardan birinin Microsoft olduğunu söyledi.
Microsoft’un blog yazısı, SolarWinds saldırılarıyla ilgili diğer raporları ele aldı.
17 Aralık tarihli bir uyarıda, Siber Güvenlik Altyapı ve Güvenlik Ajansı (CISA), SolarWinds Orion platformundan başka ilk erişim vektörleri olduğuna dair kanıtları olduğunu söyledi.
Devlet kurumu, “meşru hesap suistimalini bu vektörlerden biri olarak tanımladı” dedi.
Microsoft, bir soruyu yanıtlayarak blogda bu uyarıyı ele alır: “Microsoft, Solorigate aktörü için herhangi bir şekilde ilk giriş noktası oldu mu?”
“Hayır. Bugüne kadar yaptığımız incelemelerde, Microsoft hizmetlerinde barındırılan veriler (e-posta dahil) bazen olaylarda hedef oldu, ancak saldırgan başka bir şekilde ayrıcalıklı kimlik bilgileri elde etti” deniyordu.
Ramakrishna’nın güncellemesine göre, çalışanların kimlik bilgileri ele geçirildi, ancak onlara nasıl erişildiğini belirtmedi.
Ancak, yazılım satıcısı kesin tarihi belirlemese de, Ekim 2019’da SolarWinds Orion yazılımı üzerinde yapılan denemeden önce karmaşık aktörlerin ortamda olduğunu ve keşif yaptığını doğruladı. “Bir SolarWinds e-posta hesabının güvenliğinin ihlal edildiğini ve iş ve teknik rollerde hedeflenen SolarWinds personelinin hesaplarına programlı olarak erişmek için kullanıldığını doğruladık.
SolarWinds çalışanlarının kimlik bilgilerinden ödün vererek, tehdit aktörleri Orion geliştirme ortamımıza erişim ve bundan yararlanma imkanı buldu. , “Ramakrishna yazdı. Kullanılan e-posta Office 365’ti.
Microsoft, SolarWinds’in tedarik zinciri saldırısından etkilenen birçok şirketinden biriydi. Microsoft, 13 Aralık 2020’de SolarWinds’i Office 365 ortamlarıyla ilgili bir güvenlik ihlali konusunda bilgilendirdi.
