SolarWinds : l’arbre qui cache la forêt ?

Clément Bohic,
SolarWinds DoJ JetBrains

Tandis que le bilan de l’épisode SolarWinds continue de s’alourdir, des soupçons commencent à peser sur un autre éditeur : JetBrains.

SolarWinds, vecteur parmi d’autres dans la campagne d’espionnage qui secoue actuellement les États-Unis ?

L’entreprise américaine est au cœur de cette affaire. Et pour cause : c’est dans un de ses logiciels qu’on a trouvé plusieurs backdoors qui ont vraisemblablement servi la campagne en question.

Si l’attention s’est jusqu’alors focalisée sur SolarWinds*, des soupçons commencent à peser sur un autre éditeur. En l’occurrence, JetBrains, localisé en République tchèque avec des labos en Russie. Et plus particulièrement sur un produit : TeamCity. « Plus de 300 000 » organisations utiliseraient cet outil CI/CD. La liste comprend l’essentiel du Fortune 100… ainsi que SolarWinds.

JetBrains a rapidement réagi. Il a, d’une part, démenti toute implication volontaire dans la campagne. Et, d’autre part, affirmé n’avoir reçu aucune sollicitation de Washington ou d’une quelconque agence américaine.

Destination cloud

Sur place, le DoJ (département de la Justice) fait partie des victimes connues. Ce 6 janvier, il a publié une alerte. Principale information : des accès indésirables à « environ 3 % » de ses boîtes de messagerie Office 365. C’est-à-dire potentiellement plus de 3 000 comptes, si on considère que l’effectif du DoJ compte quelque 115 000 personnes.

Cela accrédite l’analyse qu’a notamment eue Microsoft : la campagne avait pour véritable objectif d’accéder à des applications et services cloud. La backdoor déployée sur le réseau local des victimes était le point de départ d’une chaîne impliquant des élévations de privilèges. Jusqu’à prendre la main sur le mécanisme d’authentification de ces applications et services. Deux méthodes ressortent :

  • Devenir administrateur au niveau du réseau local, accéder au serveur de fédération Active Directory et y récupérer le certificat de signature des jetons
  • Devenir administrateur sur Azure Active Directory grâce à des identifiants compromis, puis modifier ou ajouter des approbations de fédération

Dans l’un et l’autre cas, même conséquence : on peut créer des jetons capables de contourner les éventuels dispositifs d’authentification forte mis en place. À partir de là, un appel d’API suffit. Par exemple pour lire des mails sur Outlook…

* SolarWinds fait notamment face à une tentative de recours collectif au nom de ses actionnaires.

Photo d’illustration © Rawpixel.com – stock.adobe.com