Microsoft bloque désormais la porte dérobée Sunburst utilisée dans la cyberattaque SolarWinds qui a fait de nombreuses victimes dans le monde.
La porte dérobée Sunburst est une caractéristique clé de l'attaque continue de la chaîne d'approvisionnement, et la publication d'une signature mondiale de malware devrait considérablement réduire la menace.
Qu'est-ce que la cyberattaque SolarWinds?
En décembre 2020, de nombreuses agences gouvernementales américaines ont annoncé avoir été victimes d'une vaste opération de piratage. La porte dérobée de l'attaque a été insérée à l'aide d'une mise à jour malveillante via le logiciel de gestion informatique et de surveillance à distance SolarWinds Orion.
Au moment de la rédaction de cet article, le piratage de SolarWinds a réclamé le Trésor américain, ainsi que les départements de la sécurité intérieure, de l'État, de la défense et du commerce en tant que victimes, avec un potentiel révélations.
En rapport: Ces experts en sécurité vous rendent la vie plus sûre
De nombreux "experts en sécurité" n'ont pas l'expertise qu'ils prétendent. Voici plusieurs experts en sécurité qui le font et ce qu'ils font pour améliorer la sécurité.
La véritable ampleur de l'attaque SolarWinds n'est pas encore connue. Parler au BBC, a déclaré le professeur Alan Woodward, chercheur en cybersécurité, "Après la guerre froide, c'est l'une des pénétrations potentiellement les plus importantes des gouvernements occidentaux que je connaisse."
Qu'est-ce que la porte dérobée Sunburst?
Une attaque aussi vaste a nécessité des mois, voire des années de planification. L'attaque a été déclenchée avec la livraison d'une mise à jour malveillante non découverte du logiciel SolarWinds Orion.
À l'insu de SolarWinds et de ses utilisateurs, dont beaucoup sont des services gouvernementaux, un acteur menaçant avait infecté une mise à jour.
La mise à jour a été déployée auprès d'au moins 18 000 clients et potentiellement jusqu'à 300 000 clients. Lorsqu'elle est activée, la mise à jour a déclenché une version cheval de Troie du logiciel Orion, permettant à l'attaquant d'accéder à l'ordinateur et au réseau plus large.
Ce processus est connu sous le nom d'attaque de la chaîne d'approvisionnement. Le piratage a été découvert par FireEye, eux-mêmes victimes d'une violation de données de haut niveau en décembre 2020.
En rapport: FireEye, une entreprise de cybersécurité de premier plan, frappée par l'attaque d'un État-nation
Le Rapport FireEye le résumé se lit comme suit:
Les acteurs derrière cette campagne ont eu accès à de nombreuses organisations publiques et privées à travers le monde. Ils ont eu accès aux victimes via des mises à jour trojanized du logiciel de surveillance et de gestion informatique Orion de SolarWind. Cette campagne a peut-être commencé dès le printemps 2020 et est actuellement en cours. L'activité post-compromis à la suite de ce compromis dans la chaîne d'approvisionnement a inclus des mouvements latéraux et le vol de données.
Sunburst est donc le nom avec lequel FireEye suit la cyberattaque et le nom donné au malware distribué via le logiciel SolarWinds.
Comment Microsoft bloque-t-il la porte dérobée Sunburst?
Microsoft déploie des détections pour ses outils de sécurité. Une fois la signature du logiciel malveillant déployée dans la sécurité Windows (anciennement Windows Defender), les ordinateurs exécutant Windows 10 seront protégés contre le logiciel malveillant.
Selon le Équipe Microsoft 365 Defender Threat Intelligence Blog:
À partir du mercredi 16 décembre à 8 h 00 PST, Microsoft Defender Antivirus commencera à bloquer les binaires SolarWinds malveillants connus. Cela mettra le binaire en quarantaine même si le processus est en cours d'exécution.
Microsoft propose également les étapes de sécurité supplémentaires suivantes si vous rencontrez le malware Sunburst:
- Isolez immédiatement le ou les périphériques infectés. Il est probable que si vous trouvez le malware Sunburst, votre appareil soit probablement sous le contrôle d'un attaquant.
- Si des comptes ont été utilisés sur l'appareil infecté, vous devez les considérer comme compromis. Réinitialisez tout mot de passe relatif au compte ou désactivez complètement le compte.
- Si possible, commencez à rechercher comment l'appareil a été compromis.
- Si possible, commencez à rechercher des indicateurs indiquant que le logiciel malveillant s'est déplacé vers d'autres appareils, appelé mouvement latéral.
Pour la plupart des gens, les deux premières étapes de sécurité sont les plus importantes. Vous pouvez également trouver plus d'informations sur la sécurité sur le SolarWinds placer.
Il n'y a pas de confirmation de l'identité des attaquants, mais on pense que le travail est le travail d'une équipe de piratage de l'État-nation hautement sophistiquée et disposant de ressources suffisantes.
L'assurance contre la cybercriminalité est une industrie en plein essor que de nombreuses organisations explorent. Mais est-ce un investissement rentable?
- Sécurité
- Actualités techniques
- Windows Defender
- Malware
- Porte arrière
Gavin est l'éditeur junior pour Windows and Technology Explained, un contributeur régulier au podcast Really Useful, et a été l'éditeur du site sœur de MakeUseOf axé sur la cryptographie, Blocks Decoded. Il possède un BA (Hons) en écriture contemporaine avec des pratiques d'art numérique pillées dans les collines du Devon, ainsi que plus d'une décennie d'expérience en rédaction professionnelle. Il aime beaucoup de thé, de jeux de société et de football.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!
Un pas de plus…!
Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.
