Les acteurs de la menace derrière l’attaque SolarWinds pourraient violer les comptes Microsoft internes pour afficher le code source des produits Microsoft.

Plus tôt ce mois-ci, Microsoft a confirmé avoir détecté dans son environnement des exécutables malveillants téléchargés lors de l’attaque de la chaîne d’approvisionnement de la plate-forme SolarWinds Orion.

Dans un article de blog publié aujourd’hui, Microsoft a déclaré n’avoir trouvé aucune preuve que les services de production ou les données des clients avaient été violés, que des jetons SAML falsifiés étaient utilisés contre leurs domaines ou que leurs systèmes étaient utilisés pour attaquer les clients.

Cependant, leurs enquêtes ont révélé que les attaquants pouvaient compromettre des comptes Microsoft internes, l’un d’eux étant utilisé pour afficher le code source de leur logiciel. Les attaquants, cependant, n’avaient pas les autorisations nécessaires pour modifier le code source ou les systèmes d’ingénierie.

« Nous avons détecté une activité inhabituelle avec un petit nombre de comptes internes et après examen, nous avons découvert qu’un compte avait été utilisé pour afficher le code source dans un certain nombre de référentiels de code source. Le compte n’avait pas l’autorisation de modifier le code ou les systèmes d’ingénierie et notre l’enquête a confirmé qu’aucune modification n’avait été apportée. Ces comptes ont été examinés et corrigés », a déclaré Microsoft dans un article de blog.

Microsoft a en outre déclaré ne pas pratiquer la sécurité par l’obscurité et ne pas considérer la visualisation du code source comme un risque de sécurité.