微软计划从周三开始,通过微软Defender强行阻止和隔离受恶意软件感染的SolarWinds Orion应用程序版本

2020-12-16 14:09:17

微软今天宣布计划开始强行封锁和隔离已知包含Solorigate(SUNBURST)恶意软件的SolarWinds Orion应用程序版本。

微软的决定与周末爆发的大规模供应链攻击有关,该攻击影响了IT软件供应商SolarWinds。

周日,一些新闻媒体报道说,与俄罗斯政府有联系的黑客违反了SolarWinds,并在网络监视和库存平台Orion的更新中插入了恶意软件。

在新闻报道发布后不久,SolarWinds确认了2020年3月至2020年6月发布的Orion应用程序2019.4至2020.2.1版本被恶意软件污染。

按照公司的正式声明,微软是最早确认SolarWinds事件的网络安全供应商之一。在同一天,该公司添加了针对SolarWinds Orion应用程序中包含的Solorigate恶意软件的检测规则。

但是,这些检测规则仅触发警报,并且Microsoft Defender用户被允许自行决定他们要对Orion应用程序执行的操作。

但是,在今天的一篇简短博客文章中,微软表示现在决定从明天开始将所有Orion应用二进制文件强制隔离。

"从12月16日(星期三)太平洋标准时间上午8:00开始,Microsoft Defender Antivirus将开始阻止已知的恶意SolarWinds二进制文件。即使进程正在运行,这也会隔离二进制文件。微软表示。

这家操作系统制造商表示,做出此决定是为了其客户的利益,即使它希望此决定会导致sysadmin机房中的网络监控工具崩溃。

"重要的是要了解这些二进制文件对客户环境构成了重大威胁,"该公司说。

"客户应将任何带有二进制文件的设备视为已损坏,并且应该已经在调查带有此警报的设备,"它添加了。

Microsoft建议公司删除并调查安装了木马Orion应用程序的设备。该建议与周日发布的DHS紧急指令一致,网络安全和基础架构安全局在该指令中也建议相同的内容。

在周一提交的SEC文件中,SolarWinds估计至少有18,000个客户安装了木马Orion应用程序更新,并且很可能在其内部网络上装有Solorigate(SUNBURST)恶意软件。

在这些网络中的绝大多数上,恶意软件都存在但处于休眠状态。 SolarWinds黑客仅选择仅在几个高价值目标的网络上部署其他恶意软件。目前已知的该团体攻击的受害者包括: