微軟承認:發動SolarWinds供應鏈攻擊的駭客成功取得產品原始碼

微軟上周四承認,對SolarWinds發動供應鏈攻擊的國家級駭客不但進入其網路環境,還取得了產品原始碼,但微軟說問題沒那麼嚴重。

微軟上周四承認,對SolarWinds發動供應鏈攻擊的國家級駭客不但進入其網路環境,還取得了產品原始碼,但微軟說問題沒那麼嚴重。

微軟安全回應中心人員指出他們近日偵測到少部份內部帳號有不尋常的活動,經過檢視,發現其中一個帳號被用來讀取多個原始碼資料夾的程式碼。

微軟表示情況並不嚴重

所幸被駭的微軟帳號沒有修改任何程式碼或工程系統的權限,微軟實地調查也證實沒有造成任何變更。微軟表示已經對有異常活動的內部帳號進行調查和矯正,但微軟並沒說明被存取的是什麼樣的程式碼。

另外微軟也認為,影響沒有想像中嚴重。這家軟體巨人指出,他們並非靠原始碼的隱密性來確保產品安全,微軟的威脅防禦模式是以攻擊者已得知程式碼為前提而設計,因此能看到原始碼並不會增加風險。

這是微軟涉入SolarWinds攻擊的最新消息。去年12月20日微軟才坦承駭入SolarWinds及FireEye的惡意程式也在該公司內部環境發現,但微軟否認這程式有利用它的產品駭入客戶網路。微軟說沒有發現SolarWinds駭客濫用假造的SAML令符駭入其公司網域,而且所有發現到的惡意程式都已經被隔離並移除。

隔天,紐約時報又報導,受害者之一的美國商務部被駭管道是駭客利用一個微軟軟體漏洞入侵一名高層的郵件系統。駭客躲在Office 365內建立了加密令符(token),使商務部系統誤以為駭客是合法用戶而允許存取。

根據美國網路安全暨基礎架構安全署(CISA)的調查,駭客在一個具有高權限微軟Active Directory (AD)網域帳號加入驗證令符和登入帳密,藉此潛伏在系統內並升級權限。之後,駭客利用升級的AD權限來改寫SAML(Security Assertion Markup Language) 簽章憑證,藉此存取本地和代管系統。CISA指出,包括代管Outlook、代管BI應用、差勤系統、打卡系統和檔案儲存服務(如SharePoint)一般都使用SAML。

CISA認為,攻擊SolarWinds的是俄羅斯政府支持的駭客。

而在上周雲端端點安全產品及服務供應商CrowdStrike也發現,疑似駭入SolarWinds的同一批俄羅斯駭客試圖經微軟經銷商的Azure帳號來駭入其網路。這個Azure帳號是經銷商用來管理CrowdStrike的Microsoft Office授權的帳號。不過所幸駭客未能讀取CrowdStrike的電子郵件。

微軟表示,如果Office客戶是向經銷商購買雲端版服務,又同意它保持存取權的話,則經銷商登入帳密如果被竊,就可能存取客戶系統,但是這並不會影響微軟的服務。

來源:CRN

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416