微軟拒絕承認(rèn)Microsoft 365云服務(wù)遭入侵
援引路透社報(bào)道,黑客濫用微軟的 Microsoft 365 平臺(tái)對(duì)美國(guó)財(cái)政部進(jìn)行了長(zhǎng)達(dá)數(shù)月的監(jiān)控。作為回應(yīng),微軟今天發(fā)布了 IT 管理員指南,幫助他們尋找和緩解潛在的惡意活動(dòng)。
不過,微軟否認(rèn)云服務(wù)遭到入侵。在聲明中表示:“我們還想要向所有客戶澄清,在這些調(diào)查中我們并沒有在微軟任意產(chǎn)品和云服務(wù)中發(fā)現(xiàn)漏洞。”不過微軟強(qiáng)調(diào)正在開展針對(duì)政府、私營(yíng)企業(yè)的大規(guī)模調(diào)查活動(dòng),并警告安全人員注意以下跡象:
通過 SolarWinds Orion 產(chǎn)品中的惡意代碼入侵
這導(dǎo)致攻擊者獲得了網(wǎng)絡(luò)中的立足點(diǎn),攻擊者可以使用該立足點(diǎn)來(lái)獲得更高的憑據(jù)。 Microsoft Defender 現(xiàn)在可以檢測(cè)到這些文件。另請(qǐng)參見 SolarWinds 安全公告。
偽造 SAML 令牌
入侵者使用通過本地折衷獲得的管理權(quán)限來(lái)訪問組織的受信任的SAML令牌簽名證書。這樣一來(lái),他們就可以偽造SAML令牌,以模擬組織的任何現(xiàn)有用戶和帳戶,包括特權(quán)較高的帳戶。
使用由受損的令牌簽名證書創(chuàng)建的SAML令牌進(jìn)行的異常登錄,由于已對(duì)其進(jìn)行了配置,因此可以將其用于任何本地資源(無(wú)論身份系統(tǒng)或供應(yīng)商如何)以及任何云環(huán)境(無(wú)論供應(yīng)商如何)信任證書。由于SAML令牌是使用其自己的受信任證書簽名的,因此組織可能會(huì)遺漏異常。
獲取高權(quán)限賬戶
使用通過上述技術(shù)或其他方式獲得的高特權(quán)帳戶,攻擊者可以將自己的憑據(jù)添加到現(xiàn)有的應(yīng)用程序服務(wù)主體,從而使他們能夠使用分配給該應(yīng)用程序的權(quán)限來(lái)調(diào)用API。