Microsoft, ProPublica raporuna göre, SolarWinds Orion saldırılarının bir parçası olarak kullanılan bir güvenlik açığına ilişkin ihbarcının uyarılarını önemsemedi. 2016-2020 arasında Microsoft’ta çalışan Andrew Harris’in, daha sonra siber güvenlik tedarikçisi CyberArk tarafından “Altın SAML” olarak adlandırılan bir kusur hakkında Microsoft’u birçok kez uyardığı bildirildi.
SolarWinds yazılımı tedarik zinciri saldırısında, Rusya’nın SVR dış istihbarat birimiyle bağlantılı tehdit aktörlerinin Orion ağ izleme yazılımına kötü amaçlı kod bulaştırdığı görüldü. İmplantın Orion’a tanıtılmasının ardından araştırmacılar, kusurlu yazılımın ABD devlet kurumları ve büyük şirketler de dahil olmak üzere binlerce müşteri tarafından indirildiğini ve bunun çok sayıda ek veri ihlaline yol açtığını söylüyor.
Microsoft’un Active Directory Hizmetlerinin kötüye kullanılmasına olanak sağlayan güvenlik açığı, bir tehdit aktörünün, tespit edilmeden güvenliği ihlal edilmiş bir ortama erişimi daha kolay sürdürmesine olanak tanıyabiliyor. Microsoft artık Active Directory Hizmetleri müşterilerinin daha yeni Microsoft Entra ID sistemine geçiş yapmasını öneriyor.
ProPublica’nın Perşembe günü yayınlanan araştırma makalesinde, daha önce Savunma Bakanlığı için çalışmış olan Harris’in, ürünlerin bilgisayar korsanları tarafından ele geçirilmesini önleme konusundaki teknik uzmanlığını ortaya koymak üzere Microsoft tarafından işe alındığı belirtildi. SolarWinds ihlalinin keşfedilmesinden birkaç ay önce, rakip siber güvenlik sağlayıcısı CrowdStrike için çalışmak üzere Ağustos 2020’de Microsoft’tan ayrıldı.
ProPublica raporuna göre Microsoft, Harris’in uyarılarına yanıt vermek için daha erken harekete geçmiş olsaydı, muhtemelen Golden SAML kusurundan yararlanarak SolarWinds müşterilerine karşı gerçekleştirilen bazı saldırıların azaltılmasına yardımcı olabilirdi. Raporda, güvenlik açığı kullanılarak saldırıya uğrayan kurbanların arasında Ulusal Nükleer Güvenlik İdaresi ve Ulusal Sağlık Enstitüleri yer aldığı belirtildi.
Microsoft bugün CRN’ye sunduğu bir açıklamada, SAML’nin (Güvenlik Onay İşaretleme Dili) “kimlik doğrulama için bir endüstri standardı” olduğunu ve “bu standardın doğasında güvenlik açıkları olmadığını ve kimlik hizmetleri için SAML’yi desteklemenin kendisinin bir güvenlik açığı olmadığını” söyledi.
ProPublica raporu, Microsoft Başkanı Brad Smith’in ABD Temsilciler Meclisi İç Güvenlik Komitesi önünde ifade vermesi üzerine yayınlandı; burada Microsoft’un yakın zamanda ayrı bir siber saldırıyla ilgili olarak tespit edilen güvenlik açıkları konusunda “sorumluluğunu kabul ettiğini” söylediği bildirildi.
Kaynak : 