分析:SolarWinds 零日攻击
2021 年 XNUMX 月中旬对于总部位于德克萨斯州的软件供应商 SolarWinds 来说是一个黑暗的时期,因为该公司面临来自单一威胁参与者的攻击,该威胁参与者利用其 Serv-U Managed File Transfer 和 Serv-U Secure FTP 产品中的安全漏洞。 这种零日攻击对有限数量的 SolarWinds 客户造成了重大损害,凸显了对强大的网络防御系统和措施的需求,以帮助防止类似的攻击。
SolarWinds 零日攻击始于 15 月 XNUMX 日,当时一名威胁行为者利用了 Serv-U 托管文件传输 (MFT) 和 Serv-U 安全 FTP 中的安全漏洞,这两种软件被企业和个人广泛用于在系统之间安全地传输文件。该威胁行为者攻击了一个未具名国家的客户,但据信这些攻击 起源于中国.
微软警告 SolarWinds 零日攻击
SolarWinds 在收到微软警报后的同一天就意识到了这次攻击,称它已经被网络攻击者用来攻击其客户并评论“微软提供了证据”,尽管影响“有限且有针对性”。
据微软称,随着威胁行为者利用各种软件产品中的各种漏洞,此类攻击变得越来越普遍。
虽然 SolarWinds 此后修补了安全问题并改进了安全措施以防止未来发生类似的攻击,但这一威胁凸显了企业和个人对网络安全保持警惕的必要性。 随着网络罪犯越来越善于利用软件漏洞,拥有强大的防御措施比以往任何时候都更加重要。
针对零日漏洞的 SolarWinds 安全补丁
在这次毁灭性的攻击之后,SolarWinds 迅速使用热修复程序修补安全漏洞。 在发现攻击后不久发布的一份声明中,SolarWinds 承认了零日攻击,并发誓要采取措施防止未来的攻击。
该公司敦促其客户立即更新他们的系统。
随着每天出现的网络威胁数量不断增加,公司和个人都必须采取措施保护自己免受此类攻击,这一点至关重要。
谁是 SolarWinds 零日攻击的幕后黑手?
正如该事件所示,很难确定网络攻击和安全漏洞的真正来源。
SolarWinds 零日攻击是由名为 DEV-0322 的新威胁攻击者发起的,据信该攻击者位于中国。 攻击者被认为使用了复杂的技术和策略,包括利用以前未知的漏洞来进行攻击。 这表明攻击者可能拥有大量资源可供使用。
虽然尚不清楚谁是这次袭击的幕后黑手,但它似乎是由一个拥有广泛资源的老练团体精心策划和执行的。
深入阅读 SolarWinds 零日漏洞
Microsoft 创建了一个专门的团队来研究和分析零日攻击,例如最近针对 SolarWinds 的攻击。 该团队被称为进攻性研究与安全工程 (ORSE) 团队,专注于为 MSTIC 等具有高级漏洞利用开发专业知识的团队提供支持。
这个新的 ORSE 团队是为了应对针对 SolarWinds 等企业的零日攻击数量和复杂性不断增加而成立的。 他们的目标是让微软更深入地了解这些威胁,以便该公司能够在未来更好地保护其客户免受类似事件的影响。
ORSE 团队结合了经验丰富的安全研究人员、工程师、数据科学家和预防专家的才能,帮助开发针对零日攻击的新防御措施。 通过将前沿研究与实际应用相结合,该团队正在帮助使 Microsoft 的产品对每个人来说都更加安全。
ORSE 团队已经为网络安全领域做出了重大贡献,包括开发了许多先进的方法来缓解零日攻击。 他们的工作在针对许多最新攻击提供保护方面发挥了关键作用,并将继续成为确保企业在线安全的重要因素。
ORSE 团队提供的 SolarWinds 零日技术细节
对于那些感兴趣的人,ORSE 团队深入研究了 Serv-U 中 SSH 的极端细节,提供了“此类代码的最可能实例”:
您可以关注完整的深度潜水 在微软博客上.
相关文章
您可能感兴趣的其他帖子和文章。
