Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Il y a plusieurs jours, l’annonce d’une cyberattaque d’ampleur est apparue. Solorigate correspond à l’attaque de la société SolarWinds et de la plateforme Orion. En effet, les attaquants ont intégré l’entreprise et ont réussi à entrer dans le système de gestion de développement et des versions. Pendant plusieurs mois, une DLL utilisée dans plusieurs applications Solarwinds légitimes, a été manipulée afin d’y inclure du code malveillant permettant la prise de contrôle des machines. Des entreprises partout dans le monde (FireEye, etc.) mais aussi des agences gouvernementales (Department of State, etc.) utilisent les applications de Solarwinds. Cette attaque permet à des attaquants de rentrer dans le réseau des entités utilisant ces outils initialement légitimes. L’ampleur de l’attaque et sa sophistication porte à croire qu’elle n’a pu être réalisée que par une organisation puissante telle qu’un état.

Microsoft a fourni une réponse rapide à cette annonce via plusieurs éléments :

  1. Le 13 décembre, Microsoft a supprimé le certificat numérique utilisé par les fichiers afin que Windows ne fasse plus confiance aux fichiers.
  2. Le 15 décembre, Microsoft et plusieurs autres acteurs, ont agi pour prendre la main sur le domaine qui était utilisé pour la partie Command and Control (C2)
  3. Depuis le 16 décembre, Microsoft Defender Antivirus a commencé à bloquer le processus des applications légitimes de Solarwinds afin d’empêcher le code malicieux de pouvoir s’exécuter. Si pour une raison particulière, vous devez continuer d’autoriser les outils Solarwinds, Microsoft donne des éléments pour réaliser les exclusions nécessaires en attendant que vous trouviez des solutions : Ensuring customers are protected from Solorigate - Microsoft Security
  4. Si vous utilisez Azure Sentinel, Microsoft fournit des requêtes, un workbook, un notebook pour détecter les machines concernées. En outre, Microsoft fournit une règle d’analyse comme détection directement dans la console Azure SentineL. Plus d’informations sur : How to Use Azure Sentinel to Detect SolarWinds SUNBURST – Azure Cloud & AI Blog ou SolarWinds Post-Compromise Hunting with Azure Sentinel - Microsoft Tech Community
  5. On retrouve le rapport d’analyse dans les consoles Microsoft Defender for Endpoint et Microsoft 365 Defender pour vous informer : New Threat analytics report shares the latest intelligence on recent nation-state cyber attacks - Microsoft Tech Community
  6. Le 21 décembre, Microsoft publie la liste des indicateurs de compromission (IoC) caractéristique de l'attaque : Solorigate AzureAd IOCs (microsoft.com)
  7. Le 28 décembre, Microsoft complète ses recommandations par un article pour investiguer Solorigate avec Microsoft 365 Defender : Using Microsoft 365 Defender to protect against Solorigate - Microsoft Security
  8. Le 31 décembre, Microsoft communique plus en détail l'investigation sur son réseau : Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center
  9. Le 4 février 2021, Microsoft répond à certaines questions relatives à l'attaque : Sophisticated cybersecurity threats demand collaborative, global response - Microsoft Security
  10. Microsoft a communiqué le rapport final de l'attaque. Ce dernier est consultable sur : Microsoft Internal Solorigate Investigation – Final Update – Microsoft Security Response Center

 

L’équipe de sécurité Microsoft a fourni une analyse poussée de la DLL utilisée pour l’attaque : Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers - Microsoft Security

Voici un centre de ressources mis à disposition par Microsoft : December 21st, 2020 – Solorigate Resource Center – Microsoft Security Response Center

Plus d’informations sur l’attaque :

Facebook Like
Anonymous