Microsoft a annoncé aujourd’hui que les pirates de SolarWinds pourraient accéder au code source pour une quantité limitée de composants utilisés par Azure, Intune et Exchange.

En décembre, il a été révélé que la société de gestion de réseau de SolarWinds avait subi une cyberattaque sophistiquée qui a permis aux pirates de créer une attaque de la chaîne d’approvisionnement ciblant les clients de l’entreprise.

Après des enquêtes internes sur leur utilisation de la plate-forme SolarWinds, Microsoft a annoncé en décembre qu’il était affecté par l’attaque et que les pirates pourraient accéder à un nombre limité de référentiels de code source.

Aujourd’hui, Microsoft a publié la dernière mise à jour de son enquête et a déterminé que les pirates ne pouvaient accéder qu’à quelques fichiers pour la plupart des référentiels.

Cependant, pour certains référentiels, y compris ceux pour Azure, Intune et Exchange, les attaquants pourraient télécharger le code source des composants.

Pour un petit nombre de référentiels, il y avait un accès supplémentaire, y compris dans certains cas, le téléchargement du code source des composants. Ces référentiels contenaient du code pour:

• un petit sous-ensemble de composants Azure (sous-ensembles de service, sécurité, identité)
• un petit sous-ensemble de composants Intune
• un petit sous-ensemble de composants Exchange

Sur la base des mots-clés de recherche utilisés lorsque les attaquants ont recherché des secrets, tels que des clés d’API, des informations d’identification et des jetons de sécurité, qui peuvent avoir été intégrés dans le code source.

Ces informations d’identification auraient potentiellement permis aux acteurs de la menace d’avoir un accès supplémentaire aux systèmes de Microsoft s’ils étaient trouvés.

Microsoft déclare avoir une politique de développement stricte qui interdit le stockage de secrets dans le code source et utilise des outils automatisés pour vérifier cette conformité.

L’enquête de Microsoft a déterminé que le code accédé ne contenait aucune information d’identification.

«Nous avons confirmé que les référentiels étaient conformes et ne contenaient aucun justificatif de production en direct», a déclaré Microsoft dans un rapport final …