SolarWinds : Les entreprises américaines à la manœuvre pour contenir la menace

SolarWinds : Les entreprises américaines à la manœuvre pour contenir la menace

Aux Etats-Unis, l’affaire SolarWinds prend une tournure d’incident majeur pour la sécurité nationale. La liste des organisations affectées s’allonge, et les acteurs impliqués prennent des mesures visant à sécuriser les entreprises.

publicité

Orion, seul logiciel affecté chez SolarWinds

« Nous avons scanné le code de tous nos produits logiciels à la recherche de marqueurs similaires à ceux utilisés dans l’attaque de nos produits Orion Platform identifiés ci-dessus, et nous n’avons trouvé aucune preuve que d’autres versions de nos produits Orion Platform ou de nos autres produits contiennent ces marqueurs », affirme SolarWinds dans un post de blog publié ce mardi.

« Nous n’avons également trouvé aucune preuve que nos produits SolarWinds MSP, y compris RMM et N-central, ainsi que nos outils et agents gratuits, contiennent les marqueurs mentionnés ci-dessus », ajoute la société dans la mise à jour d’un avis de sécurité initialement publié dimanche.

SolarWinds demande maintenant aux clients de se mettre à jour vers les versions 2019.4 HF 6 et 2020.2.1 HF 2 pour remplacer les versions d’Orion compromises par des versions saines, et ainsi éliminer toute menace.

Saisie du nom de domaine utilisé par les attaquants

Microsoft et une coalition d’entreprises technologiques sont intervenues hier pour saisir un domaine qui a joué un rôle central dans le piratage de SolarWinds, a appris ZDNet.com auprès de sources proches du dossier.

Le domaine en question est avsvmcloud[.]com. Ce nom de domaine a servi de serveur de commande et de contrôle (C&C) pour les logiciels malveillants livrés à environ 18 000 clients de SolarWinds via une mise à jour compromise pour Orion.

Les mises à jour de SolarWinds Orion versions 2019.4 à 2020.2.1, publiées entre mars 2020 et juin 2020, contenaient une souche de malware baptisée SUNBURST (également connue sous le nom de Solorigate). Une fois installé sur un ordinateur, le logiciel malveillant restait inactif pendant 12 à 14 jours, puis contactait un sous-domaine de avsvmcloud[.]com.

Microsoft utilise la technique du “sinkhole”

Selon FireEye, le domaine C&C répondait par une réponse DNS contenant un champ CNAME avec des informations sur un autre domaine à partir duquel le logiciel malveillant SUNBURST téléchargeait des instructions supplémentaires et des charges utiles supplémentaires à exécuter sur le réseau d’une entreprise infectée.

Actuellement, le domaine avsvmcloud[.]com redirige vers une adresse IP appartenant à Microsoft. Microsoft et ses partenaires reçoivent donc des requêtes provenant de tous les systèmes sur lesquels la version compromise d’Orion a été installée.

Cette technique, connue sous le nom “sinkholing”, permet à Microsoft et à ses partenaires de créer une liste de toutes les victimes infectées. Cette liste sera utilisée pour notifier toutes les entreprises et agences gouvernementales concernées par l’incident de sécurité.

Les fichiers compromis en quarantaine

Dans un article de blog publié aujourd’hui, Microsoft annonce avoir décidé de mettre de force tous les fichiers exécutables de l’application Orion en quarantaine : « à partir du mercredi 16 décembre à 8h00 PST, Microsoft Defender Antivirus commencera à bloquer les exécutables SolarWinds malveillants connus. Ce processus mettra l’exécutable en quarantaine, même si un processus est en cours », précise Microsoft.

L’éditeur explique avoir pris cette décision pour ses clients, même s’il s’attend à ce que la décision provoque des erreurs sur les outils de surveillance du réseau dans les salles d’administration système. « Il est important de comprendre que ces exécutables représentent une menace importante pour les environnements clients », avertit la société. « Les clients devraient considérer tout appareil contenant ces fichiers comme compromis et devraient déjà enquêter sur les appareils qui ont cette alerte », ajoute-t-elle.

Microsoft recommande aux entreprises d’étudier et d’envisager la suppression des appareils sur lesquels les applications compromises ont été installées. Ce conseil est conforme à une directive d’urgence du ministère américain de l’Intérieur, publiée dimanche, dans laquelle l’Agence pour la cybersécurité et la sécurité des infrastructures américaine recommandait de mettre en œuvre des mesures similaires.

Source : ZDNet.com [1, 2, 3]

Leave a Reply

Your email address will not be published. Required fields are marked *