微軟承認：發動 SolarWinds 供應鏈攻擊的駭客成功取得產品原始碼

微軟上周四承認，對 SolarWinds 發動供應鏈攻擊的國家級駭客不但進入其網路環境，還取得了產品原始碼，但微軟說問題沒那麼嚴重。

微軟安全回應中心人員指出他們近日偵測到少部份內部帳號有不尋常的活動，經過檢視，發現其中一個帳號被用來讀取多個原始碼資料夾的程式碼。

微軟表示情況並不嚴重

所幸被駭的微軟帳號沒有修改任何程式碼或工程系統的權限，微軟實地調查也證實沒有造成任何變更。微軟表示已經對有異常活動的內部帳號進行調查和矯正，但微軟並沒說明被存取的是什麼樣的程式碼。

另外微軟也認為，影響沒有想像中嚴重。這家軟體巨人指出，他們並非靠原始碼的隱密性來確保產品安全，微軟的威脅防禦模式是以攻擊者已得知程式碼為前提而設計，因此能看到原始碼並不會增加風險。

這是微軟涉入 SolarWinds 攻擊的最新消息。去年 12 月 20 日微軟才坦承駭入 SolarWinds 及 FireEye 的惡意程式也在該公司內部環境發現，但微軟否認這程式有利用它的產品駭入客戶網路。微軟說沒有發現 SolarWinds 駭客濫用假造的 SAML 令符駭入其公司網域，而且所有發現到的惡意程式都已經被隔離並移除。

隔天，紐約時報又報導，受害者之一的美國商務部被駭管道是駭客利用一個微軟軟體漏洞入侵一名高層的郵件系統。駭客躲在 Office 365 內建立了加密令符 (token)，使商務部系統誤以為駭客是合法用戶而允許存取。

根據美國網路安全暨基礎架構安全署 (CISA) 的調查，駭客在一個具有高權限微軟 Active Directory (AD) 網域帳號加入驗證令符和登入帳密，藉此潛伏在系統內並升級權限。之後，駭客利用升級的 AD 權限來改寫 SAML(Security Assertion Markup Language) 簽章憑證，藉此存取本地和代管系統。CISA 指出，包括代管 Outlook、代管 BI 應用、差勤系統、打卡系統和檔案儲存服務（如 SharePoint）一般都使用 SAML。

CISA 認為，攻擊 SolarWinds 的是俄羅斯政府支持的駭客。

而在上周雲端端點安全產品及服務供應商 CrowdStrike 也發現，疑似駭入 SolarWinds 的同一批俄羅斯駭客試圖經微軟經銷商的 Azure 帳號來駭入其網路。這個 Azure 帳號是經銷商用來管理 CrowdStrike 的 Microsoft Office 授權的帳號。不過所幸駭客未能讀取 CrowdStrike 的電子郵件。

微軟表示，如果 Office 客戶是向經銷商購買雲端版服務，又同意它保持存取權的話，則經銷商登入帳密如果被竊，就可能存取客戶系統，但是這並不會影響微軟的服務。

來源：CRN