Microsoft veröffentlicht seinen Abschlussbericht zum SolarWinds-Cyberangriff

Eskere Guru

Microsoft hat seinen Abschlussbericht über den massiven Cyberangriff von SolarWinds veröffentlicht und einige zusätzliche Details zu seinen Ergebnissen und seiner Beteiligung veröffentlicht. Der Bericht bestätigt, dass die Angreifer auf Code-Repositorys für mehrere Microsoft-Produkte zugreifen konnten, einschließlich des Zugriffs auf Produktquellcode.

Obwohl ein Angreifer, der auf Quellcode zugreift, besorgniserregend klingt, betonte der Bericht von Microsoft, dass die Repositorys, auf die zugegriffen wurde, keine "Live-Produktionsanmeldeinformationen" enthielten.

Microsoft veröffentlicht den endgültigen SolarWinds-Bericht

Der endgültige SolarWinds-Bericht von Microsoft kann im Microsoft Security Response Center-Blog gelesen werden.

Aus dem neuesten Bericht sind einige wichtige Erkenntnisse für SolarWinds hervorgegangen.

Erstens "fand Microsoft keine Hinweise darauf, dass unsere Systeme bei Microsoft verwendet wurden, um andere anzugreifen."

Während dies wie eine Standardantwort erscheinen mag, haben Microsoft und SolarWinds (das Unternehmen, dessen Orion-Software das Startfeld für den Angriff war) kontinuierlich darüber gestritten, welches Unternehmen zuerst im Supply-Chain-Hack verletzt wurde.

Zweitens bestätigt der Bericht von Microsoft, dass die Angreifer auf mehrere Repositorys zugegriffen haben, die Quellcode für Microsoft-Produkte enthalten.

Es gab keinen Fall, in dem auf alle Repositorys zugegriffen wurde, die sich auf ein einzelnes Produkt oder eine einzelne Dienstleistung beziehen. Es gab keinen Zugriff auf die überwiegende Mehrheit des Quellcodes. Bei fast allen Code-Repositorys, auf die zugegriffen wurde, wurden nur wenige einzelne Dateien als Ergebnis einer Repository-Suche angezeigt.

In dem Bericht wurden einige der Repositories detailliert beschrieben, auf die die Angreifer zusätzlichen Zugriff erhielten:

  • eine kleine Teilmenge von Azure-Komponenten (Teilmengen von Dienst, Sicherheit, Identität)
  • eine kleine Teilmenge von Intune-Komponenten
  • eine kleine Teilmenge von Exchange-Komponenten

Innerhalb dieser Repositories versuchten die Angreifer, "Geheimnisse zu finden", sei es Schwachstellen, Hintertüren oder Daten. Microsoft arbeitet nicht mit Geheimnissen in seinem veröffentlichbaren Code, daher gab es nichts zu finden. Aufgrund des Ausmaßes des Verstoßes und der Reichweite der Ziele führte Microsoft jedoch eine vollständige Überprüfung seiner Codebasis durch.

Verwandte Themen : Microsoft enthüllt den Quellcode von SolarWinds-Angreifern

Was Microsoft von SolarWinds gelernt hat

Für Microsoft und die meisten anderen Technologie- und Sicherheitsunternehmen, die am Cyberangriff von SolarWinds beteiligt sind, ist die größte Lehre, dass solch enorme Angriffe scheinbar ohne Vorwarnung von einem Angreifer aus erfolgen können, der lange Zeit still und unsichtbar lauert.

Eine ausreichend fortgeschrittene Bedrohung, wie z. B. ein nationalstaatlicher Bedrohungsakteur, kann Ressourcen in eine Operation der Größenordnung stapeln und mehrere Technologieunternehmen und viele US-Regierungsabteilungen durchdringen.

Obwohl Microsoft festgestellt hat, was das eigentliche Ziel des SolarWinds-Angreifers war , war der Angriff so weit gefasst , dass wir möglicherweise nie wirklich verstehen, wie viele Daten gestohlen wurden oder wie sie in Zukunft verwendet werden.