Les pirates derrière la brèche SolarWinds ont également infiltré Malwarebytes, mais ils n'ont réussi à accéder qu'à certains e-mails internes, selon l'enquête du fournisseur d'antivirus.
L'intrusion ne s'est pas produite via le logiciel informatique de SolarWind, que Malwarebytes n'utilise pas.
Au lieu de cela, les attaquants ont exploité les comptes de l'entreprise avec Office 365 et Microsoft Azure.
"Nous pouvons confirmer l'existence d'un autre vecteur d'intrusion qui fonctionne en abusant des applications avec un accès privilégié aux environnements Microsoft Office 365 et Azure", a déclaré Malwarebytes dans un article de blog mardi.
Le 15 décembre, le jour après que le piratage SolarWinds est devenu public, Microsoft a déclaré au fournisseur d'antivirus qu'il avait remarqué une activité suspecte provenant d'une application tierce dans le système Office 365 de Malwarebytes.
L'enquête indique que les attaquants ont exploité un produit de protection des e-mails inactif au sein de notre locataire Office 365 qui permettait d'accéder à un sous-ensemble limité d'e-mails internes de l'entreprise, a déclaré Malwarebytes.
Les tactiques et techniques utilisées lors de l'intrusion étaient également cohérentes avec la brèche SolarWinds.
Heureusement, Malwarebytes n'a jamais connecté le service Cloud Azure de Microsoft aux environnements de production antivirus de Malwarebytes.
Néanmoins, la société de sécurité s'est lancée dans une enquête complète pour trouver tout signe de falsification possible dans les systèmes de l'entreprise, y compris dans le code source du produit et les processus de livraison de logiciels.
Nos systèmes internes n'ont montré aucune preuve d'accès non autorisé ou de compromis dans les environnements sur site et de production, a déclaré Malwarebytes.
Notre logiciel reste sûr à utiliser.
Un piratage réussi des produits antivirus de Malwarebytes serait désastreux pour les utilisateurs du monde entier.
L'entreprise est une marque de confiance dans le domaine de la sécurité informatique et affirme qu'elle protège plus de 60 000 entreprises en plus de millions de consommateurs.
Pour éliminer l'intrusion, Malwarebytes affirme que les pirates informatiques ont peut-être exploité une prétendue faiblesse dans Azure Active Directory de Microsoft que le chercheur en sécurité Dirk-jan Mollema a signalé en 2019.
Si vous compromettez un compte d'administrateur d'application ou un compte de synchronisation sur site avec le service, vous pouvez obtenir des privilèges supplémentaires sur les applications Microsoft 365 d'un client, ouvrant la voie à un accès par porte dérobée aux systèmes informatiques d'entreprise d'une victime.
L'escalade est toujours possible car ce comportement est considéré comme par conception et reste donc un risque, a écrit Mollema en septembre 2019.
Pour compromettre un compte d'administrateur d'application, Malwarebytes souligne que les pirates ont peut-être eu recours à la devinette de mot de passe.
Dans notre cas particulier, l'acteur de la menace a ajouté un certificat auto-signé avec des informations d'identification au compte principal du service.
De là, ils peuvent s'authentifier à l'aide de la clé et passer des appels API pour demander des e-mails via MSGraph (Microsoft Graph) , a ajouté la société.
L'intrusion de Malwarebytes montre comment les pirates de SolarWinds utilisaient probablement une variété de vulnérabilités pour espionner leurs victimes, parmi lesquelles de nombreuses agences gouvernementales américaines.
Il reste encore beaucoup à découvrir sur cette campagne longue et active qui a eu un impact sur tant de cibles de haut niveau, a ajouté Malwarebytes.
Selon les renseignements américains, les coupables de la brèche SolarWinds sont probablement des pirates informatiques travaillant depuis la Russie.
Le Kremlin a nié à plusieurs reprises toute implication.
En réponse à l'intrusion de Malwarebytes, Microsoft a déclaré: "Notre enquête en cours sur les attaques récentes a révélé que cet acteur de menace avancé et sophistiqué disposait de plusieurs techniques dans sa boîte à outils.
Nous n'avons identifié aucune vulnérabilité dans nos produits ou services cloud."
Note de l'éditeur: Cette histoire a été mise à jour avec la déclaration de Microsoft.
Malwarebytes a également mis à jour son article de blog pour supprimer le terme faiblesse d'Azure Active Directory et spécifier à la place que les pirates ont exploité un produit de protection des e-mails dormant dans le système Office 365 de l'entreprise.
