Alors que le code source d’une version abandonnée de Windows circule sur les réseaux pirates, Microsoft reconnaît que des cyber-criminels ont eu accès aux codes sources de certains de ses produits via la faille de SolarWinds Orion.

La backdoor « SunBurst » qui a affecté le logiciel SolarWinds Orion n’a pas fini de faire parler d’elle. Nous n’en sommes même qu’au début des révélations. Sur les 18 000 clients que compte le logiciel, deux acteurs ont fait preuve jusqu’ici d’une relative transparence s’attirant forcément tous les regards : FireEye qui s’est fait voler ses outils de pentesting (outils qui ont ensuite été utilisés par les cyberattaquants pour pénétrer les défenses d’autres victimes de Sunburst) et Microsoft qui découvre peu à peu l’ampleur de la cyber-attaque sur ses propres infrastructures.

L’éditeur avait rapidement reconnu avoir détecté plusieurs traces d’activités indésirables liées à la compromission du logiciel Orion utilisé en interne. Après près de trois semaines d’analyses intensives des logs et autres traces d’activité, Microsoft vient de publier un nouveau point.

Microsoft confirme n’avoir découvert aucune preuve d’un accès non autorisé à ses services de production ou à ses données clients. Ses investigations, qui se poursuivent, n’ont également pas montré d’indications comme quoi ses systèmes avaient été utilisés pour attaquer d’autres clients affectés par la même backdoor insérée au cœur de SolarWinds Orion. Une affirmation qui contredit quelque peu certaines allégations de chercheurs en sécurité qui n’ont par ailleurs pas spécifié si les systèmes propres à Microsoft avaient vraiment été utilisés ou si les pirates avaient simplement utilisé des ressources cloud d’Azure ou OneDrive pour transférer des outils et informations.

Les hackers ont visualisé les codes sources

« Après des investigations plus avancées, nous pouvons maintenant affirmer que nous n’avons trouvé aucune preuve de TTPs d’attaques communément utilisés (Tools/Techniques/Procédures) liés à l’abus de jetons SAML forgés contre nos domaines » expliquent les équipes du MSRC (Microsoft Security Response Center) dans un billet de blog. « Notre enquête a cependant révélé des tentatives d’activités au-delà de la simple présence de code de SolarWinds malveillant dans notre environnement. Cette activité n’a pas mis en péril la sécurité de nos services ou de nos données clients… mais nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes. Après examen, nous avons découvert qu’un compte avait été utilisé pour visualiser les codes sources dans un certain nombre de référentiels. »

L’ex-projet PolarisOS en fuite sur la toile

Sur le papier cela paraît très inquiétant. D’ailleurs, ce Week-End, le binaire de PolarisOS a fuité sur les réseaux pirates. On ne sait pas encore si cette fuite est liée à l’attaque « SunBurst », mais le timing laisse à penser que cela peut être le cas. Toutefois seuls les binaires ont fuité et non le code source. Cette fuite est une build ARM (32 bits) ancienne d’un projet Windows Core OS qui a été abandonné par Microsoft mais qui a en quelque sorte servi d’ébauche au futur Windows 10X.

Une sécurité qui assume les infiltrations…

En pratique, le fait que les pirates aient eu accès en lecture à certains répertoires de développement de Microsoft n’inquiète pas réellement l’éditeur. Ce dernier rappelle qu’il utilise une approche « inner source » qui consiste à utiliser les bonnes pratiques du développement open source et une culture de développement inspirée par l’open source afin de s’assurer que les codes sont aisément accessibles au sein de Microsoft. « Cela signifie que nous ne nous appuyons pas sur le secret du code source pour la sécurité des produits, et nos modèles de menaces supposent que les attaquants ont connaissance du code source. Ainsi, l’affichage du code source ne présente pas d’élévation du risque » expliquent les ingénieurs du MSRC. Ils expliquent que la stratégie de sécurité de Microsoft repose sur une philosophie qui assume que ses systèmes peuvent être compromis et sur une défense en profondeur pour stopper les attaquants le plus tôt possible une fois qu’ils sont entrés.

Par ailleurs, Microsoft partage déjà (et depuis des années) le code source de ses produits et systèmes avec les instances gouvernementales de nombreux pays dont la Russie, pays soupçonné par les spécialistes d’être à l’origine de la vague de cyberattaques exploitant la compromission d’Orion.

Les révélations de Microsoft ne doivent donc pas inquiéter ses clients dans l’immédiat. En revanche, elles doivent inciter toutes les entreprises qui utilisent SolarWinds Orion à réaliser de longues investigations, en profondeur, sur l’intégralité de leur système d’information. Selon les médias américains, des preuves de compromission liées à Sunburst ont été déjà découvertes dans plus de 250 réseaux d’organisations et entreprises.  Par ailleurs, l’agence CISA (Cybersecurity and Infrastructure Security Agency), l’équivalent américain de notre ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information), a invité les entreprises clientes de SolarWinds à durcir leurs stratégies de sécurité et avertit que « supprimer les vecteurs issus des attaques Sunburst des environnements compromis est une tâche très complexe et véritable défi« . L’agence a également publié en open source un nouvel outil de détection des activités potentiellement malveillantes pour Azure et Microsoft 365.