Тази седмица се състоя изслушването на компаниите, имащи отношение към атаката към SolarWinds пред представители на американския сенат.

Както знаете, в края на миналата година, софтуерната компания SolarWinds открива, че е станала жертва на сложна хакерска атака, засягаща линията им за доставка. Хиляди са били жертвите на атаката, при която неизвестна страна е получила достъп до мрежите им, оставайки там месеци наред. А сред тях се откриват имената на държавни и федерални структури в САЩ, министерства, ведомства за сигурност като Агенцията за национална сигурност на САЩ (АНС), НАСА, финансовото министерство на страната, едни от най-големите американски компании, между които технологични гиганти от ранга на Microsoft, VMware, Amazon и др.

На срещата с американските сенатори са били поканени представители на Microsoft, на Amazon, Crowdstrike и др. Сред любопитните моменти по време на споменатата среща, освен демонстративното отсъствие на Amazon, се явява и заформила се кавга между Crowdstrike, известна компания за сигурност, участваща в разследването на случая, и Microsoft.

В първите дни на разкритията на атаката към SolarWinds, разследващите концентрираха усилията си над проучване над начина, по който е компрометирана мрежата на компанията, което доведе до разкриване на още един вектор за атака към клиентите ѝ – посредством портала за удостоверяване и защитните механизми за вход на Active Directory Federation Services (ADFS) и структурата на Azure на Microsoft. Предполага се, че атакуващата страна е използвала Orion, софтуерът на SolarWinds, който те компрометират, за първоначален достъп, чрез който след това провеждат атака към удостоверяващите портали чрез техника, позната като Golden SAML – открита и описана преди три години от CyberArk.

„В качеството си на IT решение за мониторинг на мрежата, SolarWinds Orion, обикновено притежава достъп до акаунтите с най-висока степен на привилегии и до повечето сървъри във всяка една среда, в това число и до ADFS“, обяснява в интервю за Dark Reading Ари Зилберщайн от компанията за сигурност Sygnia.

Знае се също така, че хакерите са успели да достигнат до вътрешните системи на Microsoft и се предполага, че са научили как потребителите се авторизират пред мрежата и как да манипулират тези начини за свои ползи. За президента на Microsoft Брад Смит, не е компанията виновна, а конфигурационни грешки от страна на техните клиенти. Нищо такова няма, според Джордж Куртц, шефа на Crowdstrike, който се изказа изключително остро по време на изслушването. За него, хакерите са успели просто да експлоатират „ненужно сложната и овехтяла архитектура“, използвана от Microsoft.

„Атакуващата страна се е възползвала от системните слабости в автентикационната архитектура на Windows, което им позволило по-нататъшното им движение в мрежата и достигането на облачната среда, докато в същото време преодоляват мултифакторната защита“, убеден е Куртц. Смит, от своя страна призовава в своето изказване за повишаване на сътрудничеството между компаниите по отношение на киберзаплахите, докато Куртц настоява Microsoft да оправят съществуващите проблеми в Active Directory и Azure. „Ако Microsoft адресират ограниченията в удостоверяващата архитектура около Active Directory и Azure или преминат към изцяло различна методология, то един значим вектор на заплахи ще бъде напълно елиминиран от една от най-популярните в света платформи за удостоверяване на самоличността“, споделя Куртц.

5 2 гласа
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари