Pendant les mises à jour de SolarWinds Orion Le logiciel était auparavant le seul point d’entrée connu, a déclaré jeudi la société de sécurité CrowdStrike Holdings Inc que des pirates informatiques avaient obtenu l’accès au fournisseur qui lui avait vendu des licences Office et l’avaient utilisé pour essayer de lire le courrier électronique de CrowdStrike.
Il n’a pas spécifiquement identifié les pirates comme étant ceux qui avaient compromis SolarWinds, mais deux personnes familières avec l’enquête de CrowdStrike ont déclaré qu’elles l’étaient. CrowdStrike utilise des programmes Office pour le traitement de texte mais pas pour le courrier électronique. La tentative ratée, faite il y a des mois, a été signalée à CrowdStrike par Microsoft le 15 décembre.
CrowdStrike, qui n’utilise pas SolarWinds, a déclaré qu’il n’avait trouvé aucun impact de la tentative d’intrusion et a refusé de nommer le revendeur.
« Ils sont entrés via l’accès du revendeur et ont essayé d’activer les privilèges de » lecture « du courrier », a déclaré à Reuters l’une des personnes proches de l’enquête. «S’il avait utilisé Office 365 pour le courrier électronique, la partie aurait été terminée.»
De nombreuses licences logicielles Microsoft sont vendues par l’intermédiaire de tiers, et ces sociétés peuvent avoir un accès quasi constant aux systèmes des clients à mesure que les clients ajoutent des produits ou des employés. Microsoft a déclaré jeudi que ces clients devaient être vigilants. «Notre enquête sur les récentes attaques a révélé des incidents impliquant un abus d’informations d’identification pour obtenir l’accès, qui peuvent prendre plusieurs formes», a déclaré Jeff Jones, directeur principal de Microsoft. «Nous n’avons identifié aucune vulnérabilité ou compromission des produits Microsoft ou des services cloud.»
Le recours à un revendeur Microsoft pour tenter de pénétrer dans une entreprise de défense numérique de premier plan soulève de nouvelles questions sur le nombre de voies que les pirates informatiques, qui, selon les responsables américains, opèrent au nom du gouvernement russe, ont à leur disposition.
Les victimes connues jusqu’à présent incluent le rival de sécurité de CrowdStrike FireEye Inc et les départements américains de la Défense, de l’État, du Commerce, du Trésor et de la Sécurité intérieure. D’autres grandes entreprises, dont Microsoft et Cisco Systems Inc, ont déclaré avoir trouvé en interne des logiciels SolarWinds corrompus, mais n’avaient pas trouvé de signes indiquant que les pirates l’utilisaient pour s’étendre largement sur leurs réseaux.
Jusqu’à présent, SolarWinds, basé au Texas, était le seul canal confirmé publiquement pour les cambriolages initiaux, bien que les autorités avertissent depuis des jours que les pirates informatiques avaient d’autres moyens d’entrer.
Reuters a rapporté il y a une semaine que des produits Microsoft avaient été utilisés dans des attaques. Mais les responsables fédéraux ont déclaré qu’ils ne l’avaient pas vu comme un vecteur initial, et le géant du logiciel a déclaré que ses systèmes n’étaient pas utilisés dans la campagne. (ici) Microsoft a alors laissé entendre que ses clients devraient encore se méfier. À la fin d’un long article de blog technique mardi, il a utilisé une phrase pour mentionner avoir vu des pirates informatiques atteindre Microsoft 365 Cloud «à partir de comptes de fournisseurs de confiance où l’attaquant avait compromis l’environnement du fournisseur».
Microsoft exige que ses fournisseurs aient accès aux systèmes clients afin d’installer des produits et d’autoriser de nouveaux utilisateurs. Mais découvrir quels fournisseurs ont encore des droits d’accès à un moment donné est si difficile que CrowdStrike a développé et publié un outil d’audit pour ce faire. Après une série d’autres violations via des fournisseurs de cloud, y compris un ensemble majeur d’attaques attribuées à des pirates informatiques soutenus par le gouvernement chinois et connues sous le nom de CloudHopper, Microsoft a imposé cette année de nouveaux contrôles à ses revendeurs, y compris des exigences d’authentification multifactorielle.
L’Agence pour la cybersécurité et la sécurité des infrastructures et l’Agence nationale de sécurité n’ont fait aucun commentaire dans l’immédiat.
Jeudi également, SolarWinds a publié une mise à jour pour corriger les vulnérabilités de son logiciel de gestion de réseau phare Orion suite à la découverte d’un deuxième ensemble de pirates qui avaient ciblé les produits de la société.
Cela faisait suite à un article de blog Microsoft distinct vendredi disant que SolarWinds avait son logiciel ciblé par un deuxième groupe de pirates informatiques non lié en plus de ceux liés à la Russie.
L’identité du deuxième groupe de pirates informatiques, ou la mesure dans laquelle ils ont réussi à s’introduire n’importe où, reste incertaine.
La Russie a nié avoir joué un rôle dans le piratage.
.
