Analyse : SolarWinds Zero-Day Attack
La mi-juillet 2021 a été une période sombre pour le fournisseur de logiciels basé au Texas, SolarWinds, car la société a été confrontée à une attaque d'un seul acteur malveillant qui a exploité des failles de sécurité dans ses produits Serv-U Managed File Transfer et Serv-U Secure FTP. Cette attaque zero-day a causé des dommages importants à un nombre limité de clients de SolarWinds, soulignant le besoin de systèmes de cyberdéfense robustes et de mesures pour aider à prévenir des attaques similaires.
L'attaque Zero Day de SolarWinds a débuté le 15 juillet, lorsqu'un seul acteur malveillant a exploité les vulnérabilités de sécurité de Serv-U Managed File Transfer (MFT) et de Serv-U Secure FTP, qui sont largement utilisés par les entreprises et les particuliers pour transférer des fichiers en toute sécurité entre systèmes. L'auteur de la menace a attaqué des clients dans un pays anonyme, même si l'on pense que ces attaques originaire de Chine.
Microsoft a alerté SolarWinds d'une attaque Zero-Day
SolarWinds a pris connaissance de l'attaque le même jour après avoir été alerté par Microsoft, déclarant qu'elle avait déjà été utilisée par des cyber-attaquants pour cibler ses clients en commentant "Microsoft a fourni des preuves" bien que l'impact ait été "limité et ciblé".
Selon Microsoft, ces types d'attaques deviennent de plus en plus courants à mesure que les acteurs de la menace profitent de diverses vulnérabilités dans une large gamme de produits logiciels.
Alors que SolarWinds a depuis corrigé les problèmes de sécurité et amélioré ses mesures de sécurité pour empêcher des attaques similaires à l'avenir, la menace souligne la nécessité pour les entreprises et les particuliers de rester vigilants en matière de cybersécurité. Les cybercriminels devenant de plus en plus habiles à exploiter les failles logicielles, la mise en place de défenses solides est plus importante que jamais.
Correctif de sécurité SolarWinds pour Zero-Day
À la suite de cette attaque dévastatrice, SolarWinds a travaillé rapidement pour corriger les vulnérabilités de sécurité avec un correctif. Dans un communiqué publié peu de temps après la découverte des attaques, SolarWinds a reconnu l'attaque du jour zéro et s'est engagé à mettre en place des mesures pour empêcher de futures attaques.
La société a exhorté ses clients à mettre à jour leurs systèmes immédiatement.
Avec un nombre toujours croissant de cybermenaces qui émergent chaque jour, il est crucial que les entreprises et les particuliers prennent des mesures pour se protéger contre de telles attaques.
Qui était derrière l'attaque SolarWinds Zero-Day ?
Comme le montre cet incident, il peut être difficile de déterminer la véritable source des cyberattaques et des failles de sécurité.
L'attaque Zero Day de SolarWinds a été menée par un nouvel acteur malveillant connu sous le nom de DEV-0322, qui serait basé en Chine. On pense que les attaquants ont utilisé des techniques et des tactiques sophistiquées, y compris des exploits de vulnérabilités jusque-là inconnues, afin de mener à bien leur attaque. Cela suggère que les attaquants disposaient peut-être de ressources importantes.
Bien qu'on ne sache pas encore qui était derrière l'attaque, elle semble avoir été soigneusement planifiée et exécutée par un groupe sophistiqué doté de ressources importantes.
Lectures complémentaires sur le SolarWinds Zero-Day
Microsoft a créé une équipe dédiée pour rechercher et analyser les attaques zero-day comme la récente ciblant SolarWinds. Connu sous le nom d'équipe Offensive Research & Security Engineering (ORSE), ce groupe se concentre sur le soutien d'équipes comme MSTIC avec une expertise avancée en développement d'exploits.
Cette nouvelle équipe ORSE a été formée en réponse au nombre et à la complexité croissants des attaques zero-day ciblant des entreprises comme SolarWinds. Leur objectif est de fournir à Microsoft une meilleure compréhension de ces menaces, afin que l'entreprise puisse mieux protéger ses clients contre des incidents similaires à l'avenir.
L'équipe de l'ORSE combine les talents de chercheurs, d'ingénieurs, de data scientists et d'experts en prévention expérimentés en sécurité pour aider à développer de nouvelles défenses contre les attaques zero-day. En associant recherche de pointe et application pratique, cette équipe contribue à rendre les produits Microsoft plus sûrs et plus sécurisés pour tous.
L'équipe de l'ORSE a déjà apporté des contributions majeures dans le domaine de la cybersécurité, notamment en développant un certain nombre de méthodes avancées pour atténuer les exploits zero-day. Leur travail a été essentiel pour fournir une protection contre bon nombre des dernières attaques, et il continuera d'être un facteur important pour assurer la sécurité des entreprises en ligne.
Détails techniques sur SolarWinds Zero-Day fournis par l'équipe de l'ORSE
Pour les personnes intéressées, l'équipe de l'ORSE a approfondi dans les moindres détails le SSH dans Serv-U en fournissant "l'instance la plus probable d'un tel code":
Vous pouvez suivre la plongée profonde complète sur le blog Microsoft.
Articles Relatifs
Autres publications et articles qui pourraient vous intéresser.
