微軟云計算源代碼疑遭大規模泄露

上周末，“微軟被黑客組織入侵，云服務關鍵源代碼泄露”的消息在安全社區開始流傳。微軟本周二表示，他們正在調查有關Lapsus$數據勒索黑客組織入侵其內部Azure DevOps源代碼存儲庫并竊取數據的“傳聞”。

與常見的勒索軟件組織不同，Lapsus$不會在受害者的設備上部署勒索軟件，而是實施“數據綁票”：以大公司的源代碼存儲庫為目標，竊取他們的專有數據，然后試圖以數百萬美元的價格將這些數據賣回給受害公司。

雖然目前尚不清楚該勒索組織是否成功拿到了被盜數據的贖金，但可以確定的一點是Lapsus$并非虛張聲勢的組織，因為過去幾個月中該組織對英偉達、三星、沃達豐、育碧和Mercado Libre等知名企業的攻擊最后都得到了證實。

Lapsus$聲稱已經“搞定”微軟

上周日清晨，Lapsus$團伙在Telegram發布了微軟內部源代碼存儲庫的屏幕截圖（下圖），以此來證實自己成功入侵了微軟的Azure DevOps服務器。

該屏幕截圖顯示Azure DevOps存儲庫，其中包含Cortana和各種Bing項目的源代碼遭泄露（文件名分別為“Bing_STC-SV”、“Bing_Test_Agile”和“Bing_UX”）。

屏幕截圖還顯示了其他源代碼存儲庫，但不知道具體包含什么。

奇怪的是，不知是粗心還是什么別的原因，該勒索團伙在屏幕截圖中留下了登錄用戶名的首字母縮寫“IS”，這可能使微軟能夠識別和保護被盜的帳戶（下圖）：

泄露失竊賬戶的信息可能意味著Lapsus$已經失去了對該賬戶的控制，或者只是在嘲弄微軟，眾所周知，勒索團伙與受害者之間經常會發生類似的心理戰。

發布屏幕截圖后不久，Lapsus$刪除了帖子，并發了一條消息稱“暫時刪除，稍后再發布”：

然而，當時不少安全研究人員已經保存了屏幕截圖并在Twitter上分享（下圖）：

雖然微軟并未確認源代碼泄露，目前只是表示開始調查攻擊（是否確實），但不幸的是，Lapsus$有著良好的記錄，他們聲稱的攻擊后來都被證實是真實的。而且該組織在勒索談判中的態度格外強硬，甚至大爆粗口，下面是Lapsus$對英偉達發出的通牒截圖（威脅不繳納100萬美元贖金將公開顯卡驅動源代碼）：

源代碼泄漏真的沒有風險嗎？

雖然源代碼泄露會讓攻擊者更容易找到軟件中的漏洞，但微軟此前曾表示，源代碼泄露不會增加風險。

微軟表示，他們的威脅模型假設攻擊者已經了解他們的軟件是如何工作的，無論是通過逆向工程還是以前的源代碼泄漏。

“在微軟，我們有一種內部源代碼方法——使用開源軟件開發最佳實踐和類似開源的文化——使源代碼在微軟內部可見。這意味著我們的產品安全性不依賴于源代碼的保密性，我們的威脅模型假設攻擊者了解源代碼。”微軟在一篇關于SolarWinds攻擊者獲取其源代碼訪問權限的博客文章中解釋道：“因此查看（泄露）源代碼與風險提升無關。”

但是，微軟“源碼泄露無風險”的說法也許并不準確。源代碼存儲庫通常還包含訪問令牌、憑據、API密鑰，甚至代碼簽名證書。

當Lapsus$入侵NVIDIA并發布泄露數據時，其中還包括代碼簽名證書，其他攻擊者可使用這些證書給他們的惡意軟件代碼賦予合法簽名，造成更大的威脅。因為NVIDIA的代碼簽名證書能夠幫助惡意軟件繞過防病毒引擎，例如下圖：

使用被盜NVIDIA證書簽名Quasar RAT后門

不過微軟此前曾表示，他們有一項開發政策，禁止將API密鑰、憑據或訪問令牌等“秘密”包含在其源代碼存儲庫中。

但即使是這樣，也不意味著源代碼中不包含其他有價值的數據，例如私有加密密鑰或其他專有工具。

目前尚不清楚這些存儲庫中包含什么，但就像以前的受害者所遭遇的那樣，Lapsus$泄露被盜數據只是時間問題。

參考鏈接：

https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/

https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/

（來源：@GoUpSec）