Microsoft опублікувала детальний аналіз атаки на ланцюжок поставок solarWinds

Виробник програмного забезпечення SolarWinds, який в грудні минулого року постраждав від масованої атаки на ланцюжок поставок, не зміг реалізувати заходи щодо запобігання експлуатації, що дозволило зловмисникам здійснювати цілеспрямовані кібератаки в липні цього року.

Йдеться про цілеспрямовані атаки з використанням вразливості нульового дня в продуктах Serv-U Managed File Transfer і Serv-U Secure FTP. Спираючись на віктимологію, методи, тактику і процедури, експерти Центру розвідки загроз Microsoft (MSTIC) віднесли атаки до облікового запису кіберзлочинної групи DEV-0322, що діє з території Китаю.

Минулого тижня Microsoft опублікувала більш детальний аналіз атаки, в якому було відзначено, що SolarWinds не впроваджувала технологію ASLR (Address Space Layout Randomization) в деяких модулях свого програмного забезпечення.

«Включення ASLR є критично важливим заходом безпеки для сервісів, відкритих для ненадійного віддаленого введення даних і вимагає, щоб всі бінарні файли в процесі були сумісні для кращого захисту від атак з використанням вбудованих адрес в експлойтах, як це було можливо в Serv-U», - відзначили експерти.

За словами дослідників, зловмисники використовували бібліотеки DLL, скомпільовані без ASLR, які були вбудовані в процес Serv-U і використовували вразливість CVE-2021-35211 .

Команда Microsoft підтвердила, що виробник вже виправив вразливість в програмному забезпеченні, але неясно, чи був доданий механізм ASLR до постраждалих продуктів.

ASLR (Рандомізація макета адресного простору) - це механізм безпеки, який включає рандомізацію адрес віртуальної пам'яті різних структур даних, чутливих до атак.

Інші новини