Microsoft anunció recientemente que los atacantes de Solarwinds han visto su código fuente de Windows. (Normalmente, solo los clientes clave del gobierno y los socios de confianza tendrían este nivel de acceso a las "cosas" de las que está hecho Windows). Los atacantes pudieron leer, pero no cambiar, la salsa secreta del software, lo que generó preguntas y preguntas. preocupaciones de los clientes de Microsoft. ¿Significaba esto, quizás, que los atacantes podían inyectar procesos de puerta trasera en los procesos de actualización de Microsoft?
Innanzitutto, un po’ di background sull’attacco Solarwinds, noto anche come Solorigate: un utente malintenzionato ha fatto irruzione in una società di strumenti di gestione/monitoraggio remoto ed è riuscito a inserirsi nel processo di sviluppo e a costruire un cancello. rubato. Quando il software è stato aggiornato tramite i normali processi di aggiornamento implementati da Solarwinds, il software dirottato è stato distribuito sui sistemi dei clienti, tra cui molte agenzie governative statunitensi. UU. L'aggressore è stato quindi in grado di origliare silenziosamente varie attività su questi client.
Una delle tecniche dell'aggressore consisteva nello falsificare i token per l'autenticazione in modo che il sistema di dominio pensasse di ottenere credenziali utente legittime quando, in realtà, le credenziali erano state falsificate. Security Assertion Markup Language (SAML) viene regolarmente utilizzato per trasferire le credenziali in modo sicuro tra i sistemi. E mentre questo processo di Single Sign-On può fornire ulteriore sicurezza per le applicazioni, come mostrato qui, può consentire agli aggressori di accedere a un sistema. Il processo di attacco, noto come vettore di attacco "Golden SAML", "prevede che gli aggressori ottengano innanzitutto l'accesso amministrativo al server Active Directory Federation Services (ADFS) di un'organizzazione e rubino la chiave privata e il certificato dell'organizzazione". firma obbligatoria. " Ciò consentiva l'accesso continuato a queste credenziali finché la chiave privata ADFS non veniva invalidata e sostituita.
È noto che gli aggressori si trovassero su software aggiornato tra marzo e giugno 2020, sebbene vi siano indicazioni da varie organizzazioni che potrebbero aver preso di mira silenziosamente i siti a partire da ottobre 2019.
Microsoft ha indagato ulteriormente e ha scoperto che, sebbene gli aggressori non potessero inserirsi nell'infrastruttura ADFS/SAML di Microsoft, "un account era stato utilizzato per visualizzare il codice sorgente in più repository di codice sorgente. L'account non era autorizzato a modificare alcun codice o sistema tecnico e la nostra indagine ha confermato che non è stata apportata alcuna modifica. "Questa non è la prima volta che il codice sorgente di Microsoft viene violato o diffuso sul Web. Nel 2004, 30.000 file da Windows NT a Windows 2000 sono stati rilasciati sul Web da terzi. Secondo quanto riferito, Windows XP è trapelato online l'anno scorso.
Anche se non sarebbe saggio affermare con autorità che il processo di aggiornamento di Microsoft non potrà mai avere una backdoor, ho comunque fiducia nel processo di aggiornamento di Microsoft, anche se non è così. Affidati alle soluzioni dell'azienda nel momento in cui vengono rilasciate. Il processo di aggiornamento di Microsoft dipende dai certificati di firma del codice che devono essere abbinati; in caso contrario, il sistema non installerà l'aggiornamento. Anche quando utilizzi il processo di patch distribuito in Windows 10 denominato Ottimizzazione recapito, il sistema estrarrà parti di una patch da altri computer sulla rete o anche da altri computer esterni alla rete e ricompilerà la patch. corregge il numero intero facendo corrispondere le firme. Questo processo garantisce che tu possa ottenere aggiornamenti da qualsiasi luogo, non necessariamente da Microsoft, e il tuo computer verificherà che la patch sia valida.
Ci sono state occasioni in cui questo processo è stato intercettato. Nel 2012, il malware Flame ha utilizzato un certificato di firma del codice rubato per far sembrare che provenisse da Microsoft per indurre i sistemi a consentire l'installazione di codice dannoso. Ma Microsoft ha revocato il certificato e ha aumentato la sicurezza del processo di firma del codice per garantire che il vettore di attacco venisse fermato.
La politica di Microsoft è quella di presupporre che il suo codice sorgente e la sua rete siano già compromessi, e quindi adotta una filosofia di "presunta violazione". Pertanto, quando riceviamo aggiornamenti di sicurezza, non otteniamo solo correzioni per ciò che sappiamo; Vedo spesso vaghi riferimenti a funzionalità aggiuntive di rafforzamento e sicurezza che aiutano gli utenti ad andare avanti. Prendi, ad esempio, KB4592438. Rilasciato per il 20H2 di dicembre, includeva un vago riferimento agli aggiornamenti per migliorare la sicurezza durante l'utilizzo dei prodotti Microsoft Edge Legacy e Microsoft Office. Sebbene la maggior parte degli aggiornamenti di sicurezza mensili risolvano specificamente una vulnerabilità segnalata, esistono anche elementi che rendono più difficile per gli aggressori utilizzare tecniche note per scopi dannosi.
I rilasci di funzionalità spesso aumentano la sicurezza del sistema operativo, sebbene alcune protezioni richiedano una licenza di Microsoft 365 Enterprise denominata licenza "E5". È comunque possibile utilizzare tecniche di protezione avanzate, ma con chiavi di registro manuali o modificando le impostazioni dei criteri di gruppo. Un esempio di ciò è un gruppo di parametri di sicurezza progettati per ridurre la superficie di attacco; utilizza varie impostazioni per impedire che si verifichino azioni dannose sul tuo sistema.
Ma (e questo è un grande ma), definire queste regole significa che devi essere un utente esperto. Microsoft considera queste funzionalità più mirate alle imprese e alle imprese e pertanto non espone le impostazioni in un'interfaccia user-friendly. Se sei un utente avanzato e desideri rivedere queste regole di riduzione della superficie di attacco, il mio consiglio è di utilizzare lo strumento GUI di PowerShell chiamato GUI ASR Rules PoSH per impostare le regole. Per prima cosa imposta le regole su "verifica" invece che su abilita in modo da poter esaminare prima l'impatto sul tuo sistema.
Puoi scaricare la GUI dal sito github e vedrai queste regole elencate. (Tieni presente che devi eseguire come amministratore: fai clic con il pulsante destro del mouse sul file .exe scaricato e fai clic su Esegui come amministratore.)
<p>Copyright © 2021 IDG Communications, Inc.</p>