Microsoft bloque désormais la porte dérobée Sunburst utilisée dans la cyberattaque SolarWinds qui a fait de nombreuses victimes dans le monde entier.
La porte dérobée Sunburst est une caractéristique clé de l'attaque en cours de la chaîne d'approvisionnement, et la diffusion d'une signature mondiale de malware devrait considérablement réduire la menace.
En décembre 2020, de nombreuses agences gouvernementales américaines ont annoncé avoir été victimes d'une vaste opération de piratage. La porte dérobée de l'attaque a été insérée à l'aide d'une mise à jour malveillante via le logiciel de gestion informatique et de surveillance à distance SolarWinds Orion.
Au moment d'écrire ces lignes, le piratage de SolarWinds a fait du Trésor américain, ainsi que des départements de la Sécurité intérieure, de l'État, de la Défense et du Commerce, des victimes, avec le potentiel de plus de révélations.
La véritable ampleur de l'attaque de SolarWinds n'est pas encore connue. S'adressant à la BBC, le professeur Alan Woodward, chercheur en cybersécurité, a déclaré :"Après la guerre froide, il s'agit de l'une des pénétrations potentiellement les plus importantes des gouvernements occidentaux à ma connaissance."
Une attaque aussi vaste a nécessité des mois, voire des années de planification. L'attaque a été lancée avec la livraison d'une mise à jour malveillante non découverte du logiciel SolarWinds Orion.
À l'insu de SolarWinds et de ses utilisateurs, dont beaucoup sont des ministères, un acteur malveillant a infecté une mise à jour.
La mise à jour a été déployée auprès d'au moins 18 000 et potentiellement jusqu'à 300 000 clients. Lorsqu'elle était activée, la mise à jour déclenchait une version cheval de Troie du logiciel Orion, permettant à l'attaquant d'accéder à l'ordinateur et au réseau plus large.
Ce processus est connu sous le nom d'attaque de la chaîne d'approvisionnement. Le piratage a été découvert par FireEye, qui ont eux-mêmes été victimes d'une violation de données très médiatisée en décembre 2020.
Le résumé du rapport FireEye indique :
Les acteurs derrière cette campagne ont eu accès à de nombreuses organisations publiques et privées à travers le monde. Ils ont eu accès aux victimes via des mises à jour contenant des chevaux de Troie du logiciel de surveillance et de gestion informatique Orion de SolarWind. Cette campagne a peut-être commencé dès le printemps 2020 et est actuellement en cours. L'activité post-compromis à la suite de cette compromission de la chaîne d'approvisionnement a inclus des mouvements latéraux et le vol de données.
Sunburst est donc le nom avec lequel FireEye suit la cyberattaque et le nom donné au logiciel malveillant distribué via le logiciel SolarWinds.
Microsoft déploie des détections pour ses outils de sécurité. Une fois la signature du logiciel malveillant déployée sur Windows Security (anciennement Windows Defender), les ordinateurs exécutant Windows 10 seront protégés contre le logiciel malveillant.
Selon le blog de l'équipe Microsoft 365 Defender Threat Intelligence :
À partir du mercredi 16 décembre à 8h00 PST, Microsoft Defender Antivirus commencera à bloquer les binaires malveillants connus de SolarWinds. Cela mettra le binaire en quarantaine même si le processus est en cours d'exécution.
Microsoft propose également les mesures de sécurité supplémentaires suivantes si vous rencontrez le logiciel malveillant Sunburst :
Pour la plupart des gens, les deux premières étapes de sécurité sont les plus importantes. Vous pouvez également trouver plus d'informations sur la sécurité sur le site de SolarWinds.
Il n'y a aucune confirmation de l'identité des attaquants, mais on pense que le travail est le travail d'une équipe de piratage d'un État-nation hautement sophistiquée et dotée de ressources suffisantes.