Microsoft confirma que los hackers de SolarWinds descargaron parte del código de Azure, Exchange e Intune

El equipo de seguridad de Microsoft ha anunciado que por fin ha completado su investigación sobre la brecha de seguridad de SolarWinds, sin que hayan encontrado evidencias de que los atacantes hayan causado daños en sus sistemas internos ni en sus productos con el fin de atacar a sus usuarios finales y de empresa.

Según el informe que han presentado, «el primer indicio de un acceso a un archivo en un repositorio fuente data de finales de noviembre, y terminó cuando aseguramos las cuentas afectadas«. A finales de diciembre los investigadores de la compañía apuntaron que los hackers habían conseguido primero acceso a través de la app Orion de SolarWinds para después pasar a la red interna de Microsoft, desde donde accedieron al código fuente de varios proyectos internos.

Tal como han confirmado, incluso después de cortar el acceso a los intrusos, estos intentaron seguir accediendo a cuentas de Microsoft durante diciembre e incluso a principios de enero de este año, varias semanas después de que se descubriese la brecha de seguridad de SolarWinds, e incluso después de que Microsoft dejase claro que estaban investigando el incidente. Eso sí, «no accedieron a todos los repositorios con todos los productos y servicios. No  hubo acceso a la inmensa mayoría del código fuente«.

No obstante, los intrusos sí consiguieron ver «algunos archivos concretos como consecuencia de una búsqueda en repositorios«. Al parecer, según las búsquedas realizadas en ellos, los intrusos parece que se centraron en encontrar información secreta, como tokens de acceso, que pudiesen utilizar para contar con más acceso a otros sistemas de Microsoft. Pero no tuvieron éxito en estas búsquedas, porque las prácticas internas sobre código de la compañía prohiben a los desarrolladores almacenar información secreta en el código fuente.

Pero aparte de ver archivos, los hackers sí consiguieron descargar algo de código, aunque según Microsoft no fue mucho y solo pudieron descargar el de unos pocos componentes de algunos de sus productos basados en la nube. En concreto, consiguieron código de un pequeño grupo de componentes de Azure, Intune y Exchange. Por suerte, el incidente no parece haber dañado los productos de Microsoft, y los atacantes parece que no han conseguido acceder a prácticamente ningún dato de sus usuarios.