微软SolarWinds攻击报告：骇客下载了少数的Azure、Intune与Exchange元件

骇客锁定SolarWinds Orion平台的攻击行动在去年12月被揭露之后，微软坦承自己也安装了含有漏洞的Orion版本，并于本周公布最终的调查报告，指出骇客存取了微软的源代码，下载了少数的Azure、Intune与Exchange元件，但骇客并未存取微软的服务或客户资料，且微软的系统并未被骇客用来攻击其它对象。

调查显示，骇客是在去年11月底首度存取微软内部储存库中的一个档案，微软于12月察觉可疑行动之后即采取行动修补系统，并关闭了被影响的多个账号，一直到今年1月初，骇客仍企图利用相关账号存取微软内部资源，但皆未成功。

微软指出，与个别产品或服务有关的储存库并未被存取，骇客亦未存取大量的源代码，而在所有被存取的程式码储存库中，骇客只透过搜寻检视了少数的档案，不过，骇客于某些储存库中下载了部分源代码，涵盖了Azure元件（少量的服务/安全/身份认证）、少量的Intune元件，以及少量的Exchange元件。

此外，微软也从骇客在储存库中所输入的搜寻字串，判断骇客尝试在这些储存库中寻找机密资讯，幸好微软的开发政策禁止开发者将机密资讯置放于程式码中，同时利用自动化工具来验证程式码的合规性，不过，在得知骇客的动机之后，微软依然立即启动验证程序来察看相关储存库的现有及历史分支，是否含有诸如凭证之类的机密资讯。

微软表示，资安产业一直知道那些拥有经验与充沛资源的骇客，理论上具备先进技术与耐心，而且可在不被察觉的状况下运作，但SolarWinds攻击行动证实了这并不只是理论，而这也让微软学到了两个教训：拥抱零信任（Zero Trust）以及保护特权凭证。

其中，零信任是假设系统已被危害，并明确验证从身份、端点、网络到其它资源的安全状态；而保护凭证也是至关重要的，特别是在就地部署架构与云端的连结之间，倘若就地部署环境遭到危害，将会赋予骇客攻击云端服务的机会。微软强调，未来该公司将持续维持零信任政策，也会确保M365云端服务不受就地部署攻击的威胁。