微软:黑客访问了我们内部源代码
源代码(运行一个软件或操作系统的基本指令集)通常是技术公司受最严格保护的机密之一,并且微软过去一直非常谨慎地保护它。
被誉为迄今为止对美国造成的最严重的网络攻击,微软将SolarWinds网络攻击称为“Solorigate”(过度曝光),网络安全公司FireEye将其称为“SUNBURST”(炽日行动)。
微软确认黑客访问了源代码
新年第一天,微软博客透露,SolarWinds供应链攻击背后的黑客能够获得少量内部帐户的访问权限,并逐步升级其内部网络内部的访问权限。SolarWinds攻击背后的威胁因素可能会破坏微软内部帐户,以查看Microsoft产品的源代码。
本月初,微软确认他们在其环境中检测到在SolarWinds Orion平台供应链攻击期间下载的恶意可执行文件。
SolarWinds供应链网络攻击
在昨天发布的博客文章中,微软表示,他们没有发现证据证明生产服务或客户数据被破坏,伪造的SAML令牌被用于其域,或者其系统被用于攻击客户。
但是,他们的调查发现,攻击者可能破坏了Microsoft内部帐户,并使用其中一个来查看其软件的源代码。但是,攻击者没有修改任何源代码或工程系统所需的权限。
“我们通过少量内部帐户检测到异常活动,经过审查,我们发现一个帐户已被用来查看多个源代码存储库中的源代码。该帐户无权修改任何代码或工程系统,调查进一步证实未进行任何更改。这些账户已被调查并修复。”微软在博客中表示。
微软进一步表示,他们不会通过模糊实践安全性,也不认为将源代码视为安全隐患。
下一次大规模行动前的侦查?
内部人士消息说,微软已经知道源代码已经被访问了好几天了。微软发言人表示,安全员工一直在“全天候”工作,并且“当有可共享的信息要共享时,他们就已经发布并共享了信息。”
鉴于Microsoft产品无处不在,包括Office生产套件和Windows操作系统在内,无处不在,修改源代码(Microsoft表示黑客没有这样做)可能会造成灾难性的后果。但是专家说,即使能够查看代码,也可以为黑客提供洞察力,这可能会帮助他们颠覆Microsoft产品或服务。
一家总部位于以色列的Cycode(一家源代码保护公司)的安德鲁•法夫(Andrew Fife)说:“源代码是软件构建方式的体系结构蓝图。”“如果有蓝图,设计攻击要容易得多。”
独立的网络安全研究人员马特·泰特(Matt Tait)同意可以将源代码用作帮助入侵Microsoft产品的路线图,但他还警告说,公司源代码的元素已经被广泛共享,例如与外国政府共享。他说,他怀疑微软犯了一个普遍错误,即在代码中保留了加密密钥或密码。泰特说:“这不会影响客户的安全,至少不会造成实质性影响。”
正在进行调查黑客活动的FBI或国土安全部的Cybsersecurity and Infrastructure Security Agency没有回应置评请求。
Tait和Cycode的首席技术官Ronen Slavin斯拉文都说,一个关键的未解决问题是访问了哪些源代码存储库。微软拥有种类繁多的产品,从广泛使用的Windows到鲜为人知的软件,例如社交网络应用程序Yammer和设计应用程序Sway。
斯拉文说,他担心SolarWinds黑客会仔细研究微软的源代码,以此作为更雄心勃勃的攻势的前奏。他说:“对我来说,最大的问题是,这是下一次大规模行动的侦察吗?”