L'esito del rilascio di Microsoft dell'indagine interna di Solorigate, rileva ulteriori attacchi al codice sorgente

In un post del blog, Microsoft ha rilasciato alcuni ulteriori dettagli della loro indagine nel incidente Solarwinds, che ha visto 18,000 aziende, inclusa Microsoft, violate da quello che sembra essere un sofisticato attore statale.

Nel post, Microsoft insiste sul fatto di non aver trovato prove dell'accesso ai servizi di produzione o ai dati dei clienti. Inoltre, non hanno trovato indicazioni che i loro sistemi fossero usati per attaccare gli altri.

Microsoft ha rilevato applicazioni SolarWinds dannose nel loro ambiente, che hanno isolato e rimosso. Tuttavia, non hanno trovato alcuna prova dei comuni TTP (strumenti, tecniche e procedure) relativi all'abuso di token SAML contraffatti contro i loro domini aziendali.

Tuttavia, hanno riscontrato tentativi di attività al di là della semplice presenza di codice SolarWinds dannoso nel loro ambiente.

In particolare, si è verificata un'attività insolita con un numero ridotto di account interni che un account era stato utilizzato per visualizzare il codice sorgente in un certo numero di repository di codice sorgente. L'account non disponeva delle autorizzazioni per modificare il codice o i sistemi di progettazione e Microsoft ha riscontrato che non sono state apportate modifiche.

Microsoft afferma che non ci sono prove che questa attività abbia messo a rischio la sicurezza dei servizi Microsoft o dei dati dei clienti.

Microsoft afferma che la visualizzazione del codice sorgente non aumenta il rischio, poiché l'azienda non fa affidamento sulla segretezza del codice sorgente per la sicurezza dei prodotti.

Hanno anche trovato prove di tentate attività che sono state contrastate dalle protezioni di Microsoft.

Microsoft afferma che la loro indagine è in corso e pubblicherà aggiornamenti se ulteriori informazioni saranno disponibili all'indirizzo aka.ms/solorigate.