Microsoft dijo el jueves que concluyó su investigación sobre el hackeo de SolarWinds y descubrió que los atacantes robaron parte del código fuente, pero confirmaron que no había evidencia de que abusaron de sus sistemas internos para apuntar a otras compañías u obtuvieron acceso a servicios de producción o datos de clientes.
La divulgación se basa en una actualización anterior del 31 de diciembre de 2020, que descubrió un compromiso de su propia red para ver el código fuente relacionado con sus productos y servicios.
«Detectamos actividad inusual con una pequeña cantidad de cuentas internas y, tras la revisión, descubrimos que una cuenta se había utilizado para ver el código fuente en varios repositorios de código fuente», había revelado previamente el fabricante de Windows.
«La cuenta no tenía permisos para modificar ningún código o sistema de ingeniería y nuestra investigación confirmó además que no se realizaron cambios. Estas cuentas fueron investigadas y reparadas».
Ahora, según la compañía, además de ver algunos archivos individuales al buscar en los repositorios, algunos casos involucraron la descarga del código fuente del componente relacionado con:
- un pequeño subconjunto de componentes de Azure (subconjuntos de servicio, seguridad, identidad)
- un pequeño subconjunto de componentes de Intune
- un pequeño subconjunto de componentes de Exchange
«Los términos de búsqueda utilizados por el actor indican el enfoque esperado para intentar encontrar secretos», dijo la compañía, y agregó que una verificación posterior afirmó el hecho de que no contenían ninguna credencial de producción en vivo.
Llamando al ataque de la cadena de suministro de SolarWinds un «momento de ajuste de cuentas», Microsoft recomendó en enero a las organizaciones que adoptaran una «mentalidad de confianza cero» para lograr el acceso con menos privilegios y minimizar los riesgos al permitir la autenticación de múltiples factores.
La compañía dijo que los ataques han reforzado la necesidad de adoptar la mentalidad de Zero Trust y proteger las credenciales privilegiadas.
Vale la pena señalar que toda la campaña de espionaje aprovechó la confianza asociada con el software de SolarWinds para insertar un código malicioso que luego se distribuyó a hasta 18 000 de sus clientes.
«Zero Trust es una mentalidad proactiva», dijo Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft. «Cuando todos los empleados de una empresa asumen que los atacantes aterrizarán en algún momento, modelan las amenazas e implementan mitigaciones para garantizar que cualquier explotación potencial no pueda expandirse».
«El valor de la defensa en profundidad es que la seguridad está integrada en áreas clave que un actor podría intentar romper, comenzando en el nivel del código y extendiéndose a todos los sistemas de forma integral».
