微软Defender Antivirus将开始封锁恶意的SolarWinds二进制档案

就在国土安全部旗下的网络安全暨基础架构安全署（CISA）发布紧急指令，要求所有的联邦机构立即关闭或隔离内含漏洞的SolarWinds Orion产品之后，微软也跟着宣布，从太平洋标准时间（PST）周三（12/16）上午8点起（台北时间17日00:00），该公司的Defender Antivirus将会开始封锁已知的恶意SolarWinds二进制档案。

Microsoft 365 Defender威胁情报团队表示，新的政策将会隔离恶意的SolarWinds二进制档案，就算相关程序正在执行也一样，尽管他们理解含有漏洞的SolarWinds Orion Platform是个运作于客户环境中的服务器产品，不那么容易从服务中移除，但微软仍建议客户应该要隔离并调查相关装置。

该团队指出，Orion Platform用户应该要立即隔离受到影响的装置，假设恶意程式已经启动，该装置很可能已完全受到骇客的掌控；找出曾在受影响装置上使用的各种账号，重设这些账号的密码或是废除账号；调查受到影响的端点是如何被危害的；调查装置的时间轴以判断骇客是利用哪些账号来进行横向移动；以及检查系统上是否遗留了骇客所植入的其它工具。

倘若组织的服务无法中断，那么微软也建议组织应该采取行动以排除SolarWinds二进制档案，微软并提供了排除指南。

含有漏洞的Orion Platform版本为从今年3月到6月间释出的SolarWinds Orion Platform 2019.4 HF 5至2020.2.1版，骇客于这些版本中植入了木马程式，SolarWinds估计，全球有接近1.8万家客户采用了含木马程式的产品。

SolarWinds在本周发表了与该漏洞有关的常见问答集，指出根据该公司迄今的调查，相信骇客是危害了Orion软件的构建系统，并非是Orion产品的源代码有问题，亦强调除了上述版本之外，自2020.2.1 HF 1与之后的版本都是安全的。

资安业者Volexity则在本周公布了一受骇案例，这是一家未具名的智库组织，接二连三地遭到同一批被该公司命名为Dark Halo的骇客攻击，Dark Halo在今年6月与7月便是透过Orion平台渗透了该组织，目的是取得特定人士的电子邮件内容，包括该组织的多名高层、政策专家与IT部门员工等，且Dark Halo所使用的C&C服务器及后门服务器，都与其它资安业者所揭露的Orion攻击事件一致。