Malgré tous leurs efforts, les cyperpirates à l’origine de l’attaque contre SolarWinds n’ont pas réussi à accéder aux services de production ou aux données clients de Microsoft. Et rien ne prouve que ses systèmes aient été utilisés pour attaquer d’autres cibles. C’est ce qu’assure dans un rapport publié sur son blog le MSRC (Microsoft Security Response Center) qui indique avoir terminé son enquête sur la cyberattaque attribuée à un « Etat-nation », attaque qu’il qualifie de Solorigate. « En raison de nos protections de défense en profondeur, l’acteur n’a pas non plus été en mesure d’accéder à des informations d’identification privilégiées ou d’exploiter les techniques SAML (Security Access Markup Language) contre nos domaines d’entreprise », précise le MSRC.
Selon lui, les consultations de fichiers dans les référentiels sources ont eu lieu fin novembre et se sont terminées le mois suivant lorsque Microsoft a constaté des activités inhabituelles dans son environnement et sécurisé les comptes concernés. Les pirates ont cependant poursuivi leurs tentatives d’accéder à l’environnement de l’éditeur jusqu’au début du mois de janvier, mais sans succès.
L’équipe d’enquête admet cependant que les hackers ont pu télécharger du code source concernant les produits cloud Azure (sous-ensembles de service, sécurité, identité), Exchange et Intune.
Toujours selon le rapport, les journaux de requêtes indiquent chez les pirates une volonté de dénicher des secrets tels que des clés d’API, des informations d’identification et des jetons de sécurité qui pourraient avoir été intégrés dans le code source. L’éditeur assure toutefois que sa politique de développement lui interdit de stocker des secrets dans le code source et qu’il utilise des outils automatisés pour vérifier la conformité.
Sur la page Sécurité de Microsoft, le Corporate Vice President en charge de la sécurité, la conformité et l’identité, Vasu Jakkal appelle de son côté les organisations à adopter un état d’esprit Zero Trust et « de passer de la confiance implicite à la vérification explicite » pour se protéger contre les attaques sophistiquées comme Solorigate. « Les lacunes dans la protection des identités (ou des informations d’identification des utilisateurs), telles que des mots de passe faibles ou un manque d’authentification multifactorielle, sont des opportunités pour un acteur de trouver son chemin dans un système, d’élever son statut et de se déplacer latéralement dans les environnements ciblant le courrier électronique, le code source, les bases de données critiques et plus », insiste-t-il.