Entorno Office 365 de SolarWinds fue comprometido

Han surgido más detalles sobre cómo los actores de amenazas de estado-nación comprometieron SolarWinds.

En una actualización publicada el miércoles, el presidente y director ejecutivo de SolarWinds, Sudhakar Ramakrishna, dijo que la investigación en curso de la compañía determinó que los actores de estado-nación detrás del ataque a la cadena de suministro ingresaron primero al entorno Office 365 de SolarWinds. A partir de ahí, los actores de amenazas comprometieron las credenciales de los empleados, obtuvieron acceso privilegiado al entorno de compilación de Orion y luego agregaron la puerta trasera a las actualizaciones de software para la plataforma. La campaña generó actualizaciones infectadas y el compromiso de clientes de alto perfil como agencias gubernamentales y gigantes tecnológicos.

Un componente principal de la investigación es determinar los vectores de ataque. Según la actualización de Ramakrishna, el compromiso de Office 365 probablemente se produjo a través de un "compromiso de credenciales y/o accesos a través de una aplicación de terceros, aprovechando una vulnerabilidad de día cero en ese momento".

"Como se informó anteriormente, este análisis ha determinado que los actores de amenazas obtuvieron acceso no autorizado a nuestro entorno y realizaron un reconocimiento antes del seguimiento realizado en nuestra compilación de software de la plataforma Orion en octubre de 2019. Aún no hemos determinado la fecha exacta en que los actores de amenazas obtuvieron acceso no autorizado por primera vez acceso a nuestros entornos", escribió Ramakrishna en el blog. "Si bien hemos confirmado actividad sospechosa relacionada con nuestro entorno de Office 365, nuestra investigación no ha identificado una vulnerabilidad específica en Office 365 que hubiera permitido que el actor de la amenaza ingresara a nuestro entorno a través de Office 365".

Sin embargo, no está claro si el equipo de investigación ha descartado la posibilidad.

Ramakrishna confirmó en la actualización que "una cuenta de correo electrónico de SolarWinds se vio comprometida y se usó para acceder mediante programación a las cuentas del personal de SolarWinds en funciones comerciales y técnicas".

SolarWinds se negó a comentar más sobre cómo se vio comprometida esa cuenta.

En otra publicación de blog el miércoles, Ramakrishna abordó las prácticas de seguridad renovadas de la compañía en el futuro. Entre ellos se incluyen una red de acceso de confianza cero y privilegios mínimos, así como la mitigación de los riesgos de terceros al aumentar la supervisión y la inspección continuas de todas las herramientas SaaS dentro del entorno SolarWinds.

La actualización de la investigación se produce siete semanas después de que SolarWinds anunciara por primera vez el ataque a la cadena de suministro. Desde entonces, se han revelado muchas víctimas, incluido Microsoft, cliente de SolarWinds. El 31 de diciembre, el gigante tecnológico confirmó que los piratas informáticos habían accedido al código fuente de Microsoft, pero no lo alteraron ni lo obtuvieron. Antes de eso, Microsoft fue parte de un esfuerzo conjunto con FireEye y GoDaddy para crear un interruptor para apagar el malware, que FireEye apodó "Sunburst".

Además, otros proveedores han informado sobre infracciones de sus entornos de Office 365. Malwarebytes reveló el mes pasado que fue atacado por los mismos actores de amenazas responsables de los ataques de SolarWinds, aunque no es un cliente de SolarWinds. El CEO de Malwarebytes, Marcin Kleczynski, confirmó en una publicación de blog la existencia de otro vector de intrusión que funciona abusando de un "producto de protección de correo electrónico inactivo" con acceso privilegiado a los entornos de Microsoft Office 365 y Azure.

Mimecast también fue violado por los mismos actores del estado-nación. Microsoft alertó al proveedor de seguridad de correo electrónico que un actor sofisticado había robado un certificado emitido por Mimecast para la autenticación de Microsoft 365 Exchange Web Services. Si bien inicialmente no conectaron el incidente con el hack de SolarWinds, Mimecast finalmente confirmó que el certificado digital fue robado por el mismo grupo de amenazas detrás de los ataques de SolarWinds.