Microsoft y SolarWinds en disputa sobre ataques de estados-nación

Las investigaciones sobre el vector de ataque inicial utilizado en el hackeo de la cadena de suministro de SolarWinds han llevado a un aparente desacuerdo entre SolarWinds y Microsoft.

En publicaciones de blog separadas la semana pasada, las dos compañías proporcionaron actualizaciones sobre sus investigaciones en curso sobre cómo los actores del estado nacional comprometieron inicialmente el entorno de SolarWinds. Ese compromiso llevó a que los actores de amenazas de los estados-nación accedieran al entorno de desarrollo del software de gestión de TI Orion de SolarWinds; los hackers colocaron una puerta trasera dentro de las actualizaciones de software para la plataforma Orion, que se enviaron a miles de clientes de SolarWinds el año pasado.

En un anuncio el miércoles pasado, el director ejecutivo de SolarWinds, Sudhakar Ramakrishna, dijo que los actores de amenazas detrás del ataque ingresaron primero al entorno Office 365 de SolarWinds antes de pasar al entorno de desarrollo Orion. Dijo que "los vectores de ataque más probables provienen de un compromiso de credenciales y/o acceso a través de una aplicación de terceros vía una vulnerabilidad de día cero en ese momento".

Ramakrishna dijo que la investigación "no ha identificado una vulnerabilidad específica en Office 365" que los actores de la amenaza podrían haber usado para ingresar al medio ambiente, pero dijo que la investigación está en curso y podría durar varios meses más.

Nuestro portal hermano SearchSecurity se puso en contacto con SolarWinds para obtener comentarios adicionales sobre la posibilidad de que se aproveche una vulnerabilidad de Microsoft en el ataque. La empresa declinó dar declaraciones.

Al día siguiente, Microsoft emitió una declaración propia que parecía rechazar la idea de que una vulnerabilidad de Office 365 era la culpable de la violación de SolarWinds. En una publicación de blog del equipo de seguridad de Microsoft, la compañía dijo que su investigación no encontró evidencia de que fuera atacada a través del software de correo electrónico. Ambos blogs transmiten que se han descubierto otros vectores de ataque inicial además de SolarWinds.

En la publicación del blog de Microsoft se incluyó una presentación de 8K de SolarWinds de diciembre. Según el blog, algunos han interpretado la redacción de ese documento en el sentido de que estaban al tanto o estaban investigando un vector de ataque relacionado con Microsoft Office 365. No está claro por qué Microsoft revisó el archivo fechado.

"SolarWinds usa Microsoft 365 para sus herramientas de productividad de oficina y correo electrónico. SolarWinds fue consciente de un vector de ataque que se utilizó para comprometer los correos electrónicos de la empresa y puede haber proporcionado acceso a otros datos contenidos en las herramientas de productividad de la oficina de la empresa", dice el documento.

Microsoft dijo que su investigación no respalda esos hallazgos y señaló la declaración de Ramakrishna del día anterior como confirmación.

"Hemos investigado a fondo y no tenemos pruebas de que hayan sido atacados a través de Office 365. Lamentablemente, la redacción de la presentación de 8K de SolarWinds era ambigua, lo que dio lugar a interpretaciones y especulaciones erróneas, que no están respaldadas por los resultados de nuestra investigación. SolarWinds confirmó estos hallazgos en su blog el 3 de febrero de 2021", decía la publicación del blog.

SearchSecurity se puso en contacto con Microsoft para obtener más comentarios sobre el asunto. Un portavoz de la empresa emitió la siguiente declaración, reiterando la respuesta anterior de Microsoft.

"Hemos investigado a fondo y no hemos encontrado evidencia de que hayan sido atacados a través de nuestros productos o servicios. SolarWinds confirmó estos hallazgos en su blog el 3 de febrero de 2021".

Sin embargo, una fuente con conocimiento de la investigación le dijo a SearchSecurity que SolarWinds todavía está investigando muchas formas potenciales en las que los atacantes habrían ingresado inicialmente, y una de ellas es Microsoft.

La publicación del blog de Microsoft abordó otros informes sobre los ataques de SolarWinds. En una alerta el 17 de diciembre, la Agencia de Seguridad e Infraestructura de Ciberseguridad (CISA) de Estados Unidos dijo que tenía evidencia de que había vectores de acceso inicial distintos a la plataforma SolarWinds Orion. La agencia gubernamental dijo que "identificó el abuso legítimo de cuentas como uno de esos vectores". Microsoft aborda esa alerta en el blog, respondiendo una pregunta: "¿Microsoft ha sido de alguna manera un punto de entrada inicial para el actor de Solorigate?".

"No. En nuestras investigaciones hasta la fecha, los datos alojados en los servicios de Microsoft (incluido el correo electrónico) eran a veces un objetivo en los incidentes, pero el atacante había obtenido credenciales privilegiadas de alguna otra manera", decía la publicación del blog.

Según la actualización de Ramakrishna, las credenciales de los empleados se vieron comprometidas, pero no especificó cómo se accedió a ellas. Sin embargo, confirmó que había actores sofisticados en el entorno y realizaron un reconocimiento antes de la prueba realizada en la compilación del software SolarWinds Orion en octubre de 2019, aunque el proveedor de software no ha determinado la fecha exacta.

"Hemos confirmado que una cuenta de correo electrónico de SolarWinds se vio comprometida y se usó para acceder mediante programación a cuentas de personal específico de SolarWinds en funciones comerciales y técnicas. Al comprometer las credenciales de los empleados de SolarWinds, los actores de amenazas pudieron obtener acceso y explotar nuestro entorno de desarrollo Orion", Escribió Ramakrishna.

El correo electrónico utilizado fue Office 365.

Microsoft fue una de las muchas empresas de SolarWinds que se vieron afectadas por el ataque a la cadena de suministro. Microsoft notificó a SolarWinds el 13 de diciembre de 2020 sobre un compromiso relacionado con su entorno Office 365.