Microsoft a bouclé son enquête interne sur l'incident Solorigate. C'est l'autre nom donné pour la cyberattaque qui avait eu pour point de départ une compromission de la chaîne d'approvisionnement de SolarWinds avec son produit Orion.
Du code malveillant avait été injecté dans des mises à jour de cette plateforme de gestion et de surveillance de l'infrastructure informatique dans des environnements sur site, hybrides et SaaS (Software as a Service).
Avec les indicateurs de compromission, Microsoft avait détecté en décembre des binaires malveillants de SolarWinds dans son environnement. Après isolation et suppression, le groupe de Redmond avait assuré ne pas avoir trouvé de preuve d'un accès à des services de production ou des données de clients, tout en soulignant que ses systèmes n'ont pas été utilisés pour attaquer d'autres cibles.
Accès sans conséquence à du code source
Aujourd'hui, Microsoft confirme ses premières conclusions, tout en précisant que les attaquants ont pu avoir accès à des dépôts. Ils contenaient du code source pour un " petit sous-ensemble de composants " Azure (plateforme cloud ; service, sécurité et identité), Intune (gestion des appareils mobiles et d'applications mobiles) et Exchange (messagerie professionnelle).
D'après Microsoft, le but des attaquants était de trouver des " secrets " comme par exemple un token d'accès pouvant être utilisé pour une intrusion dans d'autres systèmes. Une tentative qui a échoué compte tenu de la politique de développement mise en place par Microsoft qui interdit ce type d'intégration dans le code source, et avec des outils automatisés pour le vérifier.
Selon l'analyse de Microsoft, les attaquants ont pour la première fois consulté un fichier dans un dépôt source fin novembre 2020. Après la sécurisation des comptes concernés, des tentatives d'accès - infructueuses - ont perduré jusqu'à début janvier 2021.
