Microsoft publiceert zijn eindrapport over de SolarWinds Cyberaanval

Microsoft heeft zijn eindrapport over de enorme cyberaanval van SolarWinds gepost, met enkele aanvullende details over zijn bevindingen en betrokkenheid. Het rapport bevestigt dat de aanvallers toegang hebben gekregen tot coderepositories voor verschillende Microsoft-producten, inclusief toegang tot de broncode van het product.

Hoewel een aanvaller die toegang heeft tot de broncode verontrustend klinkt, benadrukte het rapport van Microsoft dat de geopende opslagplaatsen geen "live, productiegegevens" bevatten.

Microsoft brengt het laatste SolarWinds-rapport uit

Het definitieve SolarWinds-rapport van Microsoft is beschikbaar om te lezen op het Microsoft Security Response Center-blog.

Er zijn een paar belangrijke punten uit het laatste rapport om SolarWinds aan te pakken.

Ten eerste vond Microsoft "geen aanwijzingen dat onze systemen bij Microsoft werden gebruikt om anderen aan te vallen".

Hoewel dit misschien een standaardreactie lijkt, zijn Microsoft en SolarWinds (het bedrijf waarvan Orion software was het lanceerplatform voor de aanval) hebben voortdurend ruzie gemaakt over welk bedrijf werd geschonden eerst in

de supply chain-hack.

Wat is een supply chain-hack en hoe blijft u veilig?

Kunt u niet door de voordeur breken? Val in plaats daarvan het supply chain-netwerk aan. Dit is hoe deze hacks werken.

Ten tweede bevestigt het rapport van Microsoft dat de aanvallers toegang hebben gehad tot verschillende opslagplaatsen met broncode voor Microsoft-producten.

Er was geen geval waarin toegang werd verkregen tot alle opslagplaatsen met betrekking tot een enkel product of dienst. Er was geen toegang tot de overgrote meerderheid van de broncode. Van bijna alle geopende coderepository's werden slechts enkele individuele bestanden bekeken als resultaat van een zoekopdracht in de repository.

Het rapport ging verder in op enkele van de repositories waartoe de aanvallers extra toegang kregen:

• een kleine subset van Azure-componenten (subsets van service, beveiliging, identiteit)
• een kleine subset van Intune-componenten
• een kleine subset van Exchange-componenten

Binnen die opslagplaatsen probeerden de aanvallers "geheimen te vinden", of dat nu kwetsbaarheden, achterdeurtjes of gegevens waren. Microsoft werkt niet met geheimen in de publiceerbare code, dus er was niets te vinden. Vanwege de omvang van de inbreuk en het bereik van doelen, voerde Microsoft een volledige verificatie van zijn codebasis uit.

Verwant: Microsoft onthult toegang tot de broncode van SolarWinds-aanvallers

Wat Microsoft heeft geleerd van SolarWinds

Voor Microsoft en de meeste andere technologie- en beveiligingsbedrijven die betrokken zijn bij de SolarWinds-cyberaanval, is dat de grootste les zulke enorme aanvallen kunnen, schijnbaar zonder waarschuwing, gebeuren door een aanvaller die lang stil uit het zicht op de loer ligt periode.

Een voldoende geavanceerde dreiging, zoals een dreigingsacteur van een natiestaat, kan middelen bundelen in een operatie van deze omvang, die meerdere technologiebedrijven en veel Amerikaanse overheidsdepartementen binnendringt.

Ook al heeft Microsoft vastgesteld wat het dacht het werkelijke doelwit van de SolarWinds-aanvaller waswas de aanval zo breed dat we misschien nooit echt zouden begrijpen hoeveel gegevens er zijn gestolen of hoe deze in de toekomst zullen worden gebruikt.

Microsoft voegt nationale dreigingswaarschuwingen toe aan Defender voor Office 365

De nieuwe waarschuwingen zullen gebruikers informeren over gevaar dat voortkomt uit een dreigingsacteur van een nationale staat.

Over de auteur