Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 10
ストーリー by nagazou
悪用 部門より
悪用 部門より
nMicrosoftはブログで12月31日、SolarWinds製のソフトウェア更新を悪用した大規模攻撃により、Microsoftのソースコードリポジトリーにアクセスされた可能性があると発表した。SolarWinds問題を調査する過程で、異常なアクティビティが検出された内部アカウントのうち一つが、ソースコードを表示するために使用されていたことが判明したとしている。このアカウントにはソースコードやエンジニアリングシステムを書き換える権限は無かったことから、変更は行われていないとしている。また顧客データなどへのアクセスはされていないとしている(Microsoftブログ、CNET)。
優秀なリバースエンジニアリングツールの登場で (スコア:0)
最近は実行ファイルを逆アセンブルして可読性の高いソースコードを得るハードルが低くなってきたので相対的にオリジナルのソースコードの価値が下がってる気がする。
昔は「ソースコードを見られた! 大変だ、知財を侵害された上に、脆弱性も発見されるかもしれない」だったのが今は「へー。あ、そう」って感じ。
Re:優秀なリバースエンジニアリングツールの登場で (スコア:1)
Microsoft自身がブログ [microsoft.com]で、ソースコードを見られても影響ないって言っていますね。
This means we do not rely on the secrecy of source code for the security of products,
and our threat models assume that attackers have knowledge of source code.
So viewing source code isn’t tied to elevation of risk.
(前略)我々は製品のセキュリティにおいてソースコードの秘匿性に依拠しておらず、
我々の脅威モデルは攻撃者がソースコードの知識を持っていると仮定しています。
したがって、ソースコードを閲覧されることがリスクを高めることはありません。
きちんと権限分離してるんだね (スコア:0)
>このアカウントにはソースコードやエンジニアリングシステムを書き換える権限は無かった
リードオンリーの権限はUNIXじゃ普通だけど、Webサービスや内製システムを運用すると意外と適当になっている。
そもそも読み取りだけの権限を想定してない作りだったり、アカウントに分けて適用できなかったり。
Re:きちんと権限分離してるんだね (スコア:1)
444のアカウントじゃウェブサーバを起動できないと思うが…
Re: (スコア:0)
UNIXの場合、1023番以下のポートのオープンにはroot権限が必要なのと、
ログファイル・ログフォルダへの書き込み権限が必要っていう制限があるな
Re: (スコア:0)
そして「777にしちゃえ!」が蔓延ると…
権限関係は使う人/組織の問題がケッコー出ますね。
Re: (スコア:0)
Windowsには、サービスを限定された権限で動かす機能があるのに、ほとんど有効利用されておらず、
大抵システム権限で動いてる
Re:きちんと権限分離してるんだね (スコア:1)
Re: (スコア:0)
そういうのは通常、OSレベルの権限制御なんて使わないでしょ。
そのシステムを動かすための専用アカウントが用意されるだけ。
Re: (スコア:0)
ほとんどの場合、悪いのは道具ではなく道具を使う人。