Microsoft a confirmé avoir été victime du piratage SolarWinds, l'attaque attribuée à un acteur étatique ayant revendiqué une nouvelle cible majeure.
Un avis de la NSA publié le 17 décembre 2020 mentionnait des produits Microsoft comme Azure et Active Directory, une information ultérieurement corroborée par le géant technologique.
Microsoft utilisait SolarWinds Orion, le logiciel de gestion à distance à l'origine de l'attaque. Certaines analyses ont suggéré que des produits Microsoft compromis, tels qu'Azure et Active Directory, auraient servi d'outils pour attaquer d'autres victimes.
Cependant, Brad Smith, président de Microsoft, a publié une déclaration démentant toute utilisation de leurs produits dans l'attaque, un démenti corroboré par le Department of Homeland Security. La déclaration complète est disponible sur le blog officiel de Microsoft.
Comme d'autres clients SolarWinds, nous recherchons activement des indicateurs de cet acteur et pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n'avons trouvé aucune preuve d'accès aux services de production ou aux données des clients. Nos enquêtes, qui sont en cours, n'ont trouvé absolument aucune indication que nos systèmes aient été utilisés pour attaquer d'autres personnes.
Brad Smith a qualifié ce piratage de "moment de jugement", affirmant que "nous avons besoin de mesures fortes pour tenir les États-nations responsables des cyberattaques".
Dans le contexte mondial de la cybersécurité, cette attaque SolarWinds élève considérablement les enjeux.
Le piratage SolarWinds est toujours en cours et touche de nouvelles victimes.
Microsoft figure parmi les plus grandes entreprises technologiques affectées. D'autres cibles incluent le Département américain de l'Énergie et, de manière particulièrement alarmante, la National Nuclear Security Administration, gestionnaire de l'arsenal nucléaire américain.
Selon Microsoft, environ 80 % des organisations touchées sont basées aux États-Unis, avec des victimes également au Royaume-Uni, en Belgique, en Espagne, au Canada, au Mexique, en Israël et aux Émirats arabes unis. D'autres cas devraient émerger dans les jours et semaines à venir.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié de nouvelles informations, indiquant que d'autres vecteurs d'attaque pourraient exister au-delà de SolarWinds et du malware Sunburst.
Par exemple, la CISA enquête sur un incident où l'acteur présumé a utilisé des clés secrètes volées lors d'une attaque antérieure pour générer un cookie contournant l'authentification multifacteur Duo vers Outlook Web App (OWA).
Le piratage SolarWinds est une attaque de la chaîne d'approvisionnement : les assaillants compromettent les fournisseurs plutôt que les réseaux cibles directement, obtenant ainsi un accès privilégié aux opérations internes.
SolarWinds n'est pas la première attaque de ce type, mais elle est incontestablement la plus massive.
[]