Microsoft publie le résultat de l'enquête interne de Solorigate, découvre des attaques supplémentaires sur leur code source

Dans un blog, Microsoft a publié quelques détails supplémentaires sur son enquête dans le Incident des vents solaires, qui a vu 18,000 XNUMX entreprises, dont Microsoft, piratées par ce qui semble être un acteur étatique sophistiqué.

Dans le message, Microsoft insiste sur le fait qu'ils n'ont trouvé aucune preuve d'accès aux services de production ou aux données client. Ils n'ont également trouvé aucune indication que leurs systèmes aient été utilisés pour attaquer d'autres personnes.

Microsoft a détecté des applications SolarWinds malveillantes dans son environnement, qu'il a isolées et supprimées. Cependant, ils n'ont trouvé aucune preuve des TTP (outils, techniques et procédures) courants liés à l'abus de jetons SAML contrefaits contre leurs domaines d'entreprise.

Ils ont cependant trouvé des tentatives d'activités au-delà de la simple présence de code SolarWinds malveillant dans leur environnement.

Plus précisément, il y avait une activité inhabituelle avec un petit nombre de comptes internes. Un compte avait été utilisé pour afficher le code source dans un certain nombre de référentiels de code source. Le compte n'était pas autorisé à modifier le code ou les systèmes d'ingénierie et Microsoft a découvert qu'aucune modification n'avait été apportée.

Microsoft affirme qu'il n'y a aucune preuve que cette activité ait mis en danger la sécurité des services de Microsoft ou des données des clients.

Microsoft affirme que la visualisation du code source n'augmente pas le risque, car l'entreprise ne s'appuie pas sur le secret du code source pour la sécurité des produits.

Ils ont également trouvé des preuves de tentatives d'activités contrecarrées par les protections de Microsoft.

Microsoft indique que son enquête est en cours et publiera des mises à jour si plus d'informations deviennent disponibles sur alias.ms/solorigate.