微软计划从周三开始，通过微软Defender强行阻止和隔离受恶意软件感染的SolarWinds Orion应用程序版本

微软今天宣布计划开始强行封锁和隔离已知包含Solorigate（SUNBURST）恶意软件的SolarWinds Orion应用程序版本。

微软的决定与周末爆发的大规模供应链攻击有关，该攻击影响了IT软件供应商SolarWinds。

周日，一些新闻媒体报道说，与俄罗斯政府有联系的黑客违反了SolarWinds，并在网络监视和库存平台Orion的更新中插入了恶意软件。

在新闻报道发布后不久，SolarWinds确认了2020年3月至2020年6月发布的Orion应用程序2019.4至2020.2.1版本被恶意软件污染。

按照公司的正式声明，微软是最早确认SolarWinds事件的网络安全供应商之一。在同一天，该公司添加了针对SolarWinds Orion应用程序中包含的Solorigate恶意软件的检测规则。

但是，这些检测规则仅触发警报，并且Microsoft Defender用户被允许自行决定他们要对Orion应用程序执行的操作。

但是，在今天的一篇简短博客文章中，微软表示现在决定从明天开始将所有Orion应用二进制文件强制隔离。

＆＃34;从12月16日（星期三）太平洋标准时间上午8:00开始，Microsoft Defender Antivirus将开始阻止已知的恶意SolarWinds二进制文件。即使进程正在运行，这也会隔离二进制文件。微软表示。

这家操作系统制造商表示，做出此决定是为了其客户的利益，即使它希望此决定会导致sysadmin机房中的网络监控工具崩溃。

＆＃34;重要的是要了解这些二进制文件对客户环境构成了重大威胁，＆＃34;该公司说。

＆＃34;客户应将任何带有二进制文件的设备视为已损坏，并且应该已经在调查带有此警报的设备，＆＃34;它添加了。

Microsoft建议公司删除并调查安装了木马Orion应用程序的设备。该建议与周日发布的DHS紧急指令一致，网络安全和基础架构安全局在该指令中也建议相同的内容。

在周一提交的SEC文件中，SolarWinds估计至少有18,000个客户安装了木马Orion应用程序更新，并且很可能在其内部网络上装有Solorigate（SUNBURST）恶意软件。

在这些网络中的绝大多数上，恶意软件都存在但处于休眠状态。 SolarWinds黑客仅选择仅在几个高价值目标的网络上部署其他恶意软件。目前已知的该团体攻击的受害者包括：