Microsoft Neutralise la Porte Dérobée Sunburst de l'Attaque SolarWinds

Microsoft bloque désormais la porte dérobée Sunburst, élément central de la cyberattaque SolarWinds qui a touché de nombreuses organisations mondiales.

Cette porte dérobée est au cœur de l'attaque de la chaîne d'approvisionnement. La diffusion d'une signature antivirus globale réduit significativement la menace.

Qu'est-ce que la cyberattaque SolarWinds ?

En décembre 2020, plusieurs agences gouvernementales américaines ont révélé avoir été victimes d'une vaste opération de piratage. La porte dérobée a été insérée via une mise à jour malveillante du logiciel de gestion et de surveillance informatique SolarWinds Orion.

Parmi les victimes confirmées figurent le Trésor américain, ainsi que les départements de la Sécurité intérieure, de l'État, de la Défense et du Commerce. D'autres révélations sont possibles. L'ampleur totale reste inconnue. Alan Woodward, expert en cybersécurité interrogé par la BBC, a déclaré : « Après la guerre froide, c'est l'une des pénétrations les plus importantes des gouvernements occidentaux à ma connaissance. »

Qu'est-ce que la porte dérobée Sunburst ?

Cette attaque sophistiquée a nécessité des mois, voire des années de préparation. Elle a débuté par une mise à jour malveillante indétectée de SolarWinds Orion.

À l'insu de SolarWinds et de ses clients – souvent des administrations publiques –, un acteur malveillant a compromis cette mise à jour, déployée auprès d'au moins 18 000 clients, potentiellement jusqu'à 300 000. Une fois activée, elle installait un cheval de Troie, permettant l'accès à l'ordinateur et au réseau étendu.

Cette technique est qualifiée d'attaque de la chaîne d'approvisionnement. Elle a été découverte par FireEye, victime elle-même d'une brèche médiatisée en décembre 2020.

Les acteurs derrière cette campagne ont accédé à de nombreuses organisations publiques et privées mondiales via des mises à jour trojanisées d'Orion de SolarWinds. La campagne a peut-être commencé au printemps 2020 et se poursuit. Les activités post-compromission incluent mouvements latéraux et vol de données.

Sunburst est le nom donné par FireEye à ce malware distribué via SolarWinds.

Comment Microsoft bloque-t-il Sunburst ?

Microsoft déploie des détections dans ses outils de sécurité. Une fois la signature déployée dans Microsoft Defender Antivirus (ex-Windows Defender), les systèmes Windows 10 bloquent le malware.

Selon le blog de l'équipe Microsoft 365 Defender Threat Intelligence :

À partir du 16 décembre à 8h00 PST, Microsoft Defender Antivirus bloquera les binaires malveillants connus de SolarWinds, les mettant en quarantaine même en exécution.

Microsoft recommande ces mesures si Sunburst est détecté :

1. Isoler immédiatement les appareils infectés : ils sont probablement compromis.
2. Considérer tout compte utilisé sur l'appareil comme compromis. Réinitialiser les mots de passe ou désactiver les comptes.
3. Enquêter sur la méthode d'infection.
4. Rechercher des mouvements latéraux vers d'autres appareils.

Les deux premières étapes sont prioritaires pour la plupart des utilisateurs. Plus d'infos sur le site de SolarWinds.

L'identité des attaquants reste non confirmée, mais il s'agit probablement d'une équipe d'État-nation hautement sophistiquée.