黑客锁定SolarWinds Orion平台的攻击行动在去年12月被披露之后,微软坦承自己也安装了含有漏洞的Orion版本,并于本周公布最终的调查报告,指出黑客访问了微软的源码,下载了少数的Azure、Intune与Exchange组件,但黑客并未访问微软的服务或客户资料,且微软的系统并未被黑客用来攻击其它对象。
调查显示,黑客是在去年11月底首度访问微软内部存储库中的一个文件,微软于12月发现可疑行动之后即采取行动修补系统,并关闭了被影响的多个账号,一直到今年1月初,黑客仍企图利用相关账号访问微软内部资源,但皆未成功。
微软指出,与个别产品或服务有关的存储库并未被访问,黑客也未访问大量的源码,而在所有被访问的程序代码存储库中,黑客只通过搜索查看了少数的文件,不过,黑客于某些存储库中下载了部分源码,涵盖了Azure组件(少量的服务/安全/身份认证)、少量的Intune组件,以及少量的Exchange组件。
此外,微软也从黑客在存储库中所输入的搜索字符串,判断黑客尝试在这些存储库中寻找机密信息,幸好微软的开发政策禁止开发者将机密信息放置于程序代码中,同时利用自动化工具来验证程序代码的合规性,不过,在得知黑客的动机之后,微软依然立即启动验证程序来查看相关存储库的现有及历史分支,是否含有诸如凭证之类的机密信息。
微软表示,安全产业一直知道那些拥有经验与充沛资源的黑客,理论上具备先进技术与耐心,而且可在不被发现的状况下运行,但SolarWinds攻击行动证实了这并不只是理论,而这也让微软学到了两个教训:拥抱零信任(Zero Trust)以及保护特权凭证。
其中,零信任是假设系统已被危害,并明确验证从身份、端点、网络到其它资源的安全状态;而保护凭证也是至关重要的,特别是在本地部署架构与云计算的连接之间,倘若本地部署环境遭到危害,将会赋给黑客攻击云计算服务的机会。微软强调,未来该公司将持续维持零信任政策,也会确保M365云计算服务不受本地部署攻击的威胁。