Недавняя атака SolarWinds вызвала серьезные вопросы о том, насколько безопасны компании (и правительственные учреждения), когда появляются обновления ОС или программного обеспечения. Поскольку Microsoft также пострадала, важно понять, что произошло.
Microsoft недавно объявила, что ее исходный код Windows был просмотрен злоумышленниками SolarWinds. (Обычно только ключевые государственные заказчики и доверенные партнеры имели бы такой уровень доступа к тому “материалу”, из которого сделана Windows.) Злоумышленники смогли прочитать – но не изменить-секретный соус программного обеспечения, что вызвало вопросы и опасения среди клиентов Microsoft. Может быть, это означало, что злоумышленники могли внедрить бэкдор-процессы в процессы обновления Microsoft
Во-первых, немного предыстории атаки SolarWinds, также называемой Solorigate: злоумышленник проник в компанию инструментов удаленного управления/мониторинга и смог внедриться в процесс разработки и построить бэкдор. Когда программное обеспечение было обновлено с помощью обычных процессов обновления, установленных SolarWinds, программное обеспечение backdoored было развернуто в системах клиентов — включая многочисленные правительственные учреждения США. Затем злоумышленник смог незаметно шпионить за несколькими действиями этих клиентов.
Один из методов злоумышленника состоял в подделке токенов для аутентификации, чтобы доменная система думала, что она получает законные учетные данные пользователя, когда на самом деле учетные данные были подделаны. Язык разметки утверждений безопасности (SAML) регулярно используется для безопасной передачи учетных данных между системами. И хотя этот процесс единого входа может обеспечить дополнительную безопасность приложений, как показано здесь, он может позволить злоумышленникам получить доступ к системе. Процесс атаки, называемый "золотым СЭМЛОМ"вектор атаки" предполагает, что злоумышленники сначала получают административный доступ к серверу служб Федерации Active Directory (ADFS) организации и крадут необходимый закрытый ключ и сертификат подписи.” Это позволило обеспечить непрерывный доступ к этим учетным данным до тех пор, пока закрытый ключ ADFS не будет признан недействительным и заменен.
[ Связанный: как защитить ПК с Windows 10 от вымогателей ]
В настоящее время известно, что злоумышленники находились в обновленном программном обеспечении в период с марта по июнь 2020 года, хотя есть признаки от различных организаций, что они могли спокойно атаковать сайты еще в октябре 2019 года.
Microsoft провела дальнейшее расследование и обнаружила, что, хотя злоумышленники не смогли внедриться в инфраструктуру Microsoft ADFS/SAML, “одна учетная запись использовалась для просмотра исходного кода в нескольких хранилищах исходного кода. Учетная запись не имела разрешений на изменение какого-либо кода или инженерных систем, и наше дальнейшее расследование подтвердило, что никаких изменений не было сделано.” Это не первый случай, когда исходный код Microsoft подвергся атаке или утечке в интернет. В 2004 году 30 000 файлов из Windows NT в Windows 2000 просочились в интернет через третью сторону. Windows XP, как сообщается, просочилась в интернет прошлый год.
Хотя было бы неблагоразумно авторитетно заявлять, что процесс обновления Microsoft никогда не может иметь бэкдора, я продолжаю доверять самому процессу обновления Microsoft — даже если я не доверяю патчам компании в тот момент, когда они выходят. Процесс обновления Microsoft зависит от сертификатов подписи кода, которые должны совпадать, иначе система не установит обновление. Даже при использовании процесса распределенного исправления в Windows 10 под названием оптимизация доставки система получит фрагменты патча от других компьютеров в вашей сети – или даже от других компьютеров за пределами вашей сети-и перекомпилирует весь патч, сопоставляя подписи. Этот процесс гарантирует, что вы можете получать обновления из любого места — не обязательно от Microsoft — и ваш компьютер будет проверять, чтобы убедиться, что исправление действительно.
Бывали случаи, когда этот процесс перехватывался. В 2012 году вредоносная программа Flame использовала украденный сертификат подписи кода, чтобы сделать его похожим на то, что он пришел от Microsoft, чтобы обмануть системы, позволив установить вредоносный код. Но Microsoft отозвала этот сертификат и повысила безопасность процесса подписания кода, чтобы гарантировать, что вектор атаки будет закрыт.