《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 微軟云計(jì)算源代碼疑遭大規(guī)模泄露

微軟云計(jì)算源代碼疑遭大規(guī)模泄露

2022-03-27
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 云計(jì)算 微軟

  上周末,,“微軟被黑客組織入侵,,云服務(wù)關(guān)鍵源代碼泄露”的消息在安全社區(qū)開(kāi)始流傳,。微軟本周二表示,他們正在調(diào)查有關(guān)Lapsus$數(shù)據(jù)勒索黑客組織入侵其內(nèi)部Azure DevOps源代碼存儲(chǔ)庫(kù)并竊取數(shù)據(jù)的“傳聞”,。

  與常見(jiàn)的勒索軟件組織不同,Lapsus$不會(huì)在受害者的設(shè)備上部署勒索軟件,,而是實(shí)施“數(shù)據(jù)綁票”:以大公司的源代碼存儲(chǔ)庫(kù)為目標(biāo),,竊取他們的專(zhuān)有數(shù)據(jù),然后試圖以數(shù)百萬(wàn)美元的價(jià)格將這些數(shù)據(jù)賣(mài)回給受害公司,。

  雖然目前尚不清楚該勒索組織是否成功拿到了被盜數(shù)據(jù)的贖金,,但可以確定的一點(diǎn)是Lapsus$并非虛張聲勢(shì)的組織,因?yàn)檫^(guò)去幾個(gè)月中該組織對(duì)英偉達(dá),、三星,、沃達(dá)豐、育碧和Mercado Libre等知名企業(yè)的攻擊最后都得到了證實(shí),。

  Lapsus$聲稱(chēng)已經(jīng)“搞定”微軟

  上周日清晨,,Lapsus$團(tuán)伙在Telegram發(fā)布了微軟內(nèi)部源代碼存儲(chǔ)庫(kù)的屏幕截圖(下圖),以此來(lái)證實(shí)自己成功入侵了微軟的Azure DevOps服務(wù)器,。

  該屏幕截圖顯示Azure DevOps存儲(chǔ)庫(kù),,其中包含Cortana和各種Bing項(xiàng)目的源代碼遭泄露(文件名分別為“Bing_STC-SV”、“Bing_Test_Agile”和“Bing_UX”)。

  屏幕截圖還顯示了其他源代碼存儲(chǔ)庫(kù),,但不知道具體包含什么,。

  奇怪的是,不知是粗心還是什么別的原因,,該勒索團(tuán)伙在屏幕截圖中留下了登錄用戶(hù)名的首字母縮寫(xiě)“IS”,,這可能使微軟能夠識(shí)別和保護(hù)被盜的帳戶(hù)(下圖):

  泄露失竊賬戶(hù)的信息可能意味著Lapsus$已經(jīng)失去了對(duì)該賬戶(hù)的控制,或者只是在嘲弄微軟,,眾所周知,,勒索團(tuán)伙與受害者之間經(jīng)常會(huì)發(fā)生類(lèi)似的心理戰(zhàn)。

  發(fā)布屏幕截圖后不久,,Lapsus$刪除了帖子,,并發(fā)了一條消息稱(chēng)“暫時(shí)刪除,稍后再發(fā)布”:

  然而,,當(dāng)時(shí)不少安全研究人員已經(jīng)保存了屏幕截圖并在Twitter上分享(下圖):

  雖然微軟并未確認(rèn)源代碼泄露,,目前只是表示開(kāi)始調(diào)查攻擊(是否確實(shí)),但不幸的是,,Lapsus$有著良好的記錄,,他們聲稱(chēng)的攻擊后來(lái)都被證實(shí)是真實(shí)的。而且該組織在勒索談判中的態(tài)度格外強(qiáng)硬,,甚至大爆粗口,,下面是Lapsus$對(duì)英偉達(dá)發(fā)出的通牒截圖(威脅不繳納100萬(wàn)美元贖金將公開(kāi)顯卡驅(qū)動(dòng)源代碼):

  源代碼泄漏真的沒(méi)有風(fēng)險(xiǎn)嗎?

  雖然源代碼泄露會(huì)讓攻擊者更容易找到軟件中的漏洞,,但微軟此前曾表示,,源代碼泄露不會(huì)增加風(fēng)險(xiǎn)。

  微軟表示,,他們的威脅模型假設(shè)攻擊者已經(jīng)了解他們的軟件是如何工作的,,無(wú)論是通過(guò)逆向工程還是以前的源代碼泄漏。

  “在微軟,,我們有一種內(nèi)部源代碼方法——使用開(kāi)源軟件開(kāi)發(fā)最佳實(shí)踐和類(lèi)似開(kāi)源的文化——使源代碼在微軟內(nèi)部可見(jiàn),。這意味著我們的產(chǎn)品安全性不依賴(lài)于源代碼的保密性,我們的威脅模型假設(shè)攻擊者了解源代碼,?!蔽④浽谝黄P(guān)于SolarWinds攻擊者獲取其源代碼訪問(wèn)權(quán)限的博客文章中解釋道:“因此查看(泄露)源代碼與風(fēng)險(xiǎn)提升無(wú)關(guān)?!?/p>

  但是,,微軟“源碼泄露無(wú)風(fēng)險(xiǎn)”的說(shuō)法也許并不準(zhǔn)確。源代碼存儲(chǔ)庫(kù)通常還包含訪問(wèn)令牌,、憑據(jù),、API密鑰,,甚至代碼簽名證書(shū)。

  當(dāng)Lapsus$入侵NVIDIA并發(fā)布泄露數(shù)據(jù)時(shí),,其中還包括代碼簽名證書(shū),,其他攻擊者可使用這些證書(shū)給他們的惡意軟件代碼賦予合法簽名,造成更大的威脅,。因?yàn)镹VIDIA的代碼簽名證書(shū)能夠幫助惡意軟件繞過(guò)防病毒引擎,,例如下圖:

  使用被盜NVIDIA證書(shū)簽名Quasar RAT后門(mén)

  不過(guò)微軟此前曾表示,他們有一項(xiàng)開(kāi)發(fā)政策,,禁止將API密鑰,、憑據(jù)或訪問(wèn)令牌等“秘密”包含在其源代碼存儲(chǔ)庫(kù)中。

  但即使是這樣,,也不意味著源代碼中不包含其他有價(jià)值的數(shù)據(jù),,例如私有加密密鑰或其他專(zhuān)有工具。

  目前尚不清楚這些存儲(chǔ)庫(kù)中包含什么,,但就像以前的受害者所遭遇的那樣,,Lapsus$泄露被盜數(shù)據(jù)只是時(shí)間問(wèn)題。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。