聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

美国网络安全和基础设施安全局 (CISA) 表示，SolarWinds 幕后黑客还通过密码猜测和密码喷射攻击攻陷目标，而且并非一直使用木马化更新作为初始访问向量。

密码猜测和密码喷射

上个月，CISA 在针对 SolarWinds 事件的首份安全公告中指出，目前正在调查黑客攻陷了并未运行 SolarWinds Orion 软件的目标的案件。

虽然当时并未披露相关调查详情，但上周在调查进展公告中指出，CISA 最终确定 SolarWinds 黑客还通过密码猜测和密码喷射作为初始访问向量。

上周三，CISA 表示，”CISA 事件响应调查已查明，某些案件中的初始访问权限是通过密码猜测、密码喷射和管理凭据的安全性保护不力因而遭外部远程访问服务而被获取的。“

CISA 指出，一旦威胁者（CISA认为源自俄罗斯）获得对内部网络或云基础设施的访问权限后，就将权限提升至管理员级别，继而伪造认证令牌 (OAuth)，访问公司网络内部其它本地资源或云托管资源，而无需提供任何有效凭证或解决多因素认证挑战。

发布修复工具

为了帮助受害者处理这些“到云“的提权情况，CISA 还发布了第二次安全公告，给出了如何搜索微软提供的云设置，查找该黑客组织的活动并修复服务器。CISA 指出，该指南并非考虑黑客用于控制云资源的初始访问向量，且即使初始访问权限是木马化的 Orion app 或密码猜测/喷射攻击，也应该应用该指南。该指南还提供了CISA去年发布的一款工具 Sparrow，以帮助受害者检测 Azure Microsoft 365 环境中可能存在的受陷账户和应用。另外，CrowdStrike 公司也发布了一款类似工具 CST。

CISA 前局长受聘

SolarWinds 公司聘请在2020年11月遭特朗普解雇的CISA前局长 Chris Krebs 作为独立的安全顾问，与斯坦福教授兼 Facebook 前首席安全官 Alex Stamos 一起修复攻击造成的损害并提升该公司的安全性。

SolarWinds 公司总裁兼CEO Sudhakar Ramakrishna 上个月刚刚上任，他给出了关于该网络攻击的规划后，聘请了上述两人。他在一篇博客中指出，“我们已聘请多名顶级的网络安全专家协助我们开展调查，我将对客户、政府合作伙伴和公众在长短期安全增强方面秉持透明的态度，确保我们能够继续维护对我们而言最珍贵的东西，那就是你们的信任。”

推荐阅读

微软源代码遭 SolarWinds 黑客访问

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

原文链接

https://www.zdnet.com/article/cisa-solarwinds-hackers-also-used-password-guessing-to-breach-targets/

https://www.zdnet.com/article/solarwinds-hires-chris-krebs-and-alex-stamos-as-part-of-security-review/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~