利用SolarWinds软件的国家攻击已经在整个安全行业引起了连锁反应,影响了多个组织。我们首先在我们的12月14日博客并通知使用SolarWinds的企业客户,要求他们采取预防措施。

虽然Malw必威平台APParebytes不使用SolarWinds,但我们和许多其他公司一样,最近也成为了同一威胁行为者的目标。我们可以确认是否存在另一个入侵向量,该入侵向量通过滥用具有Microsoft Office 365和Azure环境特权访问权限的应用程序来工作。经过广泛调查,我们确定攻击者只能访问有限的公司内部电子邮件子集。我们未发现任何未经授权的访问证据,也未发现我们的任何内部现场和生产环境存在任何危害。

这对恶意软件字节是如何影响的?必威平台APP

12月15日,我们从微软安全响应中心收到了来自微软Office 365租户的第三方应用程序的可疑活动信息,该应用程序的策略、技术和程序(TTPs)与参与SolarWinds攻击的高级威胁行为者一致。

我们立即启动了事件响应小组,并与微软的检测和响应小组(DART)进行了合作。我们一起对我们的云和内部环境进行了广泛的调查,以了解与触发初始警报的API调用相关的任何活动。调查表明,攻击者利用了我们Office 365租户中一个休眠的电子邮件保护产品,该产品允许访问有限的公司内部电子邮件子集。我们在生产环境中不使用Azure云服务。

考虑到SolarWinds攻击的供应链性质,并且非常谨慎,我们立即对所有Malwarebytes源代码、构建和交付过程进行了彻底的调查,包括对我们自己的软件进行反向工程。必威平台APP我们的内部系统在任何内部和生产环境中都没有显示出未经授权的访问或妥协的证据。我们的软件使用起来仍然安全。

我们所知道的:SolarWinds攻击者也针对管理和服务证书

作为美国网络安全和基础设施安全局所述,对手不仅依赖于SolarWinds的供应链攻击,而且还通过利用管理或服务凭证,使用额外的手段来损害高价值目标。

2019年,一名安全研究人员曝光了Azure Active Directory存在漏洞可以通过向应用程序分配凭据来升级特权。2019年9月,他发现漏洞仍然存在并从本质上导致对Microsoft Graph和Azure AD Graph的主体证书的后门访问。

如果具有足够管理权限的攻击者获得了对租户的访问权,则第三方应用程序可能被滥用。最新发布的CISA报告揭示了除了利用管理或服务凭据之外,威胁参与者如何通过猜测密码或喷洒密码获得初始访问权限。在我们的例子中,威胁行为人添加自签名证书使用到服务主体帐户的凭据。从那里,他们可以使用密钥进行身份验证,并通过MSGraph进行API调用来请求电子邮件。

对于许多组织来说,保护Azure租户可能是一项具有挑战性的任务,特别是在处理第三方应用程序或分销商时。CrowdStrike也遭到了攻击,但没有成功工具帮助企业识别并降低Azure Active Directory中的风险。

作为一个产业聚集在一起

虽然我们在相对较短的时间内了解了很多信息,但对于这场影响了如此多高调目标的长期而活跃的运动,仍有更多的信息有待发现。安全公司必须继续共享信息,以便在当前这种情况下帮助更大的行业,特别是在这种通常与民族国家行为者有关的新型复杂攻击情况下。

我们要感谢安全社区,特别是FireEye和微软分享了这么多关于这次攻击的细节。在本已艰难的一年里,安全从业者和事件应对人员响应职责的召唤,整个假期都在工作,包括我们自己的敬业员工。安全行业充满了杰出的人,他们不知疲倦地为他人辩护,今天,我们的工作向前推进是多么重要,这是显而易见的。

更新:澄清了关于“Azure Active Directory弱点”的声明。
更新2:澄清对CrowdStrike的攻击并不成功