援引路透社報道，黑客濫用微軟的 Microsoft 365 平臺對美國財政部進行了長達數(shù)月的監(jiān)控。作為回應，微軟今天發(fā)布了 IT 管理員指南，幫助他們尋找和緩解潛在的惡意活動。

不過，微軟否認云服務遭到入侵。在聲明中表示：“我們還想要向所有客戶澄清，在這些調查中我們并沒有在微軟任意產品和云服務中發(fā)現(xiàn)漏洞。”不過微軟強調正在開展針對政府、私營企業(yè)的大規(guī)模調查活動，并警告安全人員注意以下跡象：

通過 SolarWinds Orion 產品中的惡意代碼入侵

這導致攻擊者獲得了網絡中的立足點，攻擊者可以使用該立足點來獲得更高的憑據(jù)。 Microsoft Defender 現(xiàn)在可以檢測到這些文件。另請參見 SolarWinds 安全公告。

偽造 SAML 令牌

入侵者使用通過本地折衷獲得的管理權限來訪問組織的受信任的SAML令牌簽名證書。這樣一來，他們就可以偽造SAML令牌，以模擬組織的任何現(xiàn)有用戶和帳戶，包括特權較高的帳戶。

使用由受損的令牌簽名證書創(chuàng)建的SAML令牌進行的異常登錄，由于已對其進行了配置，因此可以將其用于任何本地資源(無論身份系統(tǒng)或供應商如何)以及任何云環(huán)境(無論供應商如何)信任證書。由于SAML令牌是使用其自己的受信任證書簽名的，因此組織可能會遺漏異常。

獲取高權限賬戶

使用通過上述技術或其他方式獲得的高特權帳戶，攻擊者可以將自己的憑據(jù)添加到現(xiàn)有的應用程序服務主體，從而使他們能夠使用分配給該應用程序的權限來調用API。