微软证实 SolarWinds 被攻击，从明天开始隔离相关应用

技术编辑：芒果果丨发自 思否编辑部

微软今天宣布计划开始强行阻止和隔离已知包含 Solorigate（SUNBURST）恶意软件的 SolarWinds Orion 应用程序版本。

微软的决定与上周末曝光的大规模供应链攻击有关，这次攻击影响了 IT 软件供应商 SolarWinds。据称，黑客入侵了 SolarWinds，并在网络监视和库存平台 Orion 的更新中插入了恶意软件。

近日， SolarWinds 确认了在 2020 年 3 月至 2020 年 6 月之间发布的 Orion 应用程序 2019.4 至 2020.2.1 版本已被恶意软件污染。

在公司的官方声明之后，微软成为首批证实 SolarWinds 事件的网络安全供应商之一。同一天，该公司增加了对 SolarWinds Orion 应用程序中包含的 solarorigate 恶意软件的检测规则。

但是，这些检测规则只会触发警报，微软的 Defender 用户可以自己决定他们想用 Orion 应用程序做什么。

TROJANIZED SOLARWINDS 应用程序将于明天开始隔离

今天，微软表示，它已经决定从明天开始将所有 Orion 应用程序二进制文件强制隔离。

微软表示：“从 12 月 16 日太平洋标准时间上午 8:00开始，Microsoft Defender Antivirus 将开始阻止已知的恶意 SolarWinds 二进制文件。即使该进程正在运行，这也将阻止该二进制文件。”

微软称，他们做出这个决定是为了客户的利益，即使他们预计这个决定会导致一些系统管理员机房中的网络监控工具崩溃。微软解释说：“重要的是要了解这些二进制文件对客户环境构成了重大威胁。”

此外，微软还补充道：“客户应将任何带有二进制文件的设备都视为威胁，并对带有这种警报的设备进行研究。”

微软建议公司移除和调查安装了 trojanized Orion 应用程序的设备。这一建议与美国国土安全部周日发布的紧急指令一致。同时，美国网络安全和基础设施安全局也提出了同样的建议。

在美国证券交易委员会周一提交的文件中，SolarWinds 估计至少有 18000 名用户安装了 trojanized Orion 应用程序更新，他们的内部网络中很可能安装了 Solorigate （SUNBURST）恶意软件。

在这些网络中的绝大多数恶意软件是存在的，但是处于休眠状态。SolarWinds 黑客只会选择在少数高价值目标的网络上部署额外的恶意软件。

目前已知的受到该组织攻击的受害者包括：

• 美国网络安全公司 FireEye
• 美国财政部
• 美国商务部国家电信和信息管理局（NTIA）
• 卫生署国立卫生研究院（NIH）
• 网络安全和基础设施局（CISA）
• 国土安全部（DHS）
• 美国国务院