Microsoft publica su informe final sobre el ciberataque de SolarWinds
Microsoft ha publicado su informe final sobre el ciberataque masivo de SolarWinds, proporcionando algunos detalles adicionales sobre sus hallazgos y participación. El informe confirma que los atacantes lograron acceder a repositorios de códigos para varios productos de Microsoft, incluido el acceso al código fuente del producto.
Aunque un atacante que accede al código fuente suena preocupante, el informe de Microsoft enfatizó que los repositorios accedidos no contenían ninguna "credencial de producción en vivo".
Microsoft publica el informe final de SolarWinds
El informe final de SolarWinds de Microsoft está disponible para leer en el blog del Centro de respuesta de seguridad de Microsoft .
Hay algunas conclusiones clave del último informe para abordar SolarWinds.
Primero, Microsoft "no encontró indicios de que nuestros sistemas en Microsoft fueran utilizados para atacar a otros".
Si bien esto puede parecer una respuesta estándar, Microsoft y SolarWinds (la compañía cuyo software Orion fue la plataforma de lanzamiento para el ataque) han discutido continuamente sobre qué compañía fue violada primero en el ataque a la cadena de suministro .
En segundo lugar, el informe de Microsoft confirma que los atacantes accedieron a varios repositorios que contienen código fuente para productos de Microsoft.
No hubo ningún caso en el que se accediera a todos los repositorios relacionados con un solo producto o servicio. No hubo acceso a la gran mayoría del código fuente. Para casi todos los repositorios de código a los que se tuvo acceso, solo se visualizaron unos pocos archivos individuales como resultado de una búsqueda en el repositorio.
El informe pasó a detallar algunos de los repositorios a los que los atacantes obtuvieron acceso adicional:
- un pequeño subconjunto de componentes de Azure (subconjuntos de servicio, seguridad, identidad)
- un pequeño subconjunto de componentes de Intune
- un pequeño subconjunto de componentes de Exchange
Dentro de esos repositorios, los atacantes estaban tratando de "encontrar secretos", ya sean vulnerabilidades, puertas traseras o datos. Microsoft no trabaja con secretos en su código publicable, por lo que no había nada que encontrar. Sin embargo, debido a la escala de la infracción y el rango de objetivos, Microsoft realizó una verificación completa de su código base.
Lo que Microsoft aprendió de SolarWinds
Para Microsoft y la mayoría de las otras empresas de tecnología y seguridad involucradas en el ciberataque de SolarWinds, la mayor lección es que estos enormes ataques pueden ocurrir, aparentemente sin previo aviso, de un atacante que acecha silenciosamente fuera de la vista durante un largo período.
Una amenaza lo suficientemente avanzada, como un actor de amenazas de un estado-nación, puede acumular recursos en una operación de la escala, penetrando en múltiples empresas de tecnología y en muchos departamentos gubernamentales de EE. UU.
Aunque Microsoft estableció cuál pensaba que era el objetivo real del atacante de SolarWinds , el ataque fue tan amplio que es posible que nunca comprendamos realmente cuántos datos se robaron o cómo se utilizarán en el futuro.