Anche gli hacker dietro la violazione di SolarWinds si sono infiltrati in Malwarebytes, ma sono riusciti ad accedere solo ad alcune e-mail interne, secondo l'indagine del provider antivirus.
L'intrusione non è avvenuta tramite il software IT di SolarWind, che Malwarebytes non utilizza.
Invece, gli aggressori hanno sfruttato gli account dell'azienda con Office 365 e Microsoft Azure.
"Possiamo confermare l'esistenza di un altro vettore di intrusione che funziona abusando delle applicazioni con accesso privilegiato agli ambienti Microsoft Office 365 e Azure", ha affermato Malwarebytes in un post sul blog martedì.
Il 15 dicembre, il giorno dopo che l'hack di SolarWinds è diventato pubblico, Microsoft ha dichiarato al fornitore di antivirus di aver notato attività sospette provenienti da un'applicazione di terze parti all'interno del sistema Office 365 di Malwarebytes.
"L'indagine indica che gli aggressori hanno sfruttato un prodotto di protezione della posta elettronica dormiente all'interno del tenant di Office 365 che ha consentito l'accesso a un sottoinsieme limitato di messaggi di posta elettronica interni dell'azienda", ha affermato Malwarebytes.
Anche le tattiche e le tecniche utilizzate durante l'intrusione erano coerenti con la violazione di SolarWinds.
Fortunatamente, Malwarebytes non ha mai collegato il servizio cloud Azure di Microsoft con gli ambienti di produzione antivirus di Malwarebytes.
Tuttavia, l'azienda di sicurezza ha intrapreso un'indagine completa per trovare eventuali segni di possibile manomissione nei sistemi dell'azienda, anche all'interno del codice sorgente del prodotto e dei processi di consegna del software.
"I nostri sistemi interni non hanno mostrato alcuna prova di accesso non autorizzato o compromissione in alcun ambiente locale e di produzione", ha affermato Malwarebytes.
"Il nostro software rimane sicuro da usare."
Un hack di successo dei prodotti antivirus di Malwarebytes sarebbe disastroso per gli utenti di tutto il mondo.
L'azienda è un nome di fiducia nella sicurezza IT e afferma di proteggere più di 60.000 aziende oltre a milioni di consumatori.
Per eliminare l'intrusione, Malwarebytes afferma che gli hacker potrebbero aver sfruttato una presunta debolezza in Azure Active Directory di Microsoft che il ricercatore di sicurezza Dirk-jan Mollema ha segnalato nel 2019.
Se si compromette un "account di amministrazione dell'applicazione" o "account di sincronizzazione locale" con il servizio, puoi ottenere privilegi aggiuntivi per le applicazioni Microsoft 365 di un cliente, aprendo la strada all'accesso backdoor ai sistemi IT aziendali della vittima.
"L'escalation è ancora possibile poiché questo comportamento è considerato 'by-design' e quindi rimane un rischio", ha scritto Mollema a settembre 2019.
Per compromettere un account amministratore dell'applicazione, Malwarebytes sottolinea che gli hacker potrebbero aver fatto ricorso all'indovinare la password.
“Nel nostro caso particolare, l'attore della minaccia ha aggiunto un certificato autofirmato con credenziali all'account dell'entità servizio.
Da lì, possono autenticarsi utilizzando la chiave ed effettuare chiamate API per richiedere e-mail tramite MSGraph (Microsoft Graph) ", ha aggiunto la società.
L'intrusione a Malwarebytes sottolinea come gli hacker di SolarWinds stessero probabilmente utilizzando una varietà di vulnerabilità per spiare le loro vittime, tra cui numerose agenzie governative degli Stati Uniti.
"C'è ancora molto da scoprire su questa campagna lunga e attiva che ha avuto un impatto su così tanti obiettivi di alto profilo", ha aggiunto Malwarebytes.
Secondo l'intelligence statunitense, i colpevoli dietro la violazione di SolarWinds sono probabilmente hacker che lavorano dalla Russia.
Il Cremlino ha più volte negato qualsiasi coinvolgimento.
In risposta all'intrusione di Malwarebytes, Microsoft ha dichiarato: "La nostra indagine in corso sui recenti attacchi ha rilevato che questo attore di minacce avanzato e sofisticato aveva diverse tecniche nel suo kit di strumenti.
Non abbiamo identificato alcuna vulnerabilità nei nostri prodotti o servizi cloud".
Nota dell'editore: Questa storia è stata aggiornata con la dichiarazione di Microsoft.
Malwarebytes ha anche aggiornato il suo post sul blog per eliminare il termine "debolezza di Azure Active Directory" e specificare invece che gli hacker hanno sfruttato un prodotto di protezione della posta elettronica dormiente all'interno del sistema Office 365 dell'azienda.
