bqi6etcc.jpg

不過,微軟否認雲服務遭到入侵。在聲明中表示:“我們還想要向所有客戶澄清,在這些調查中我們並沒有在微軟任意產品和雲服務中發現漏洞。”不過微軟強調正在開展針對政府、私營企業的大規模調查活動,並警告安全人員註意以下跡象:

● 通過 SolarWinds Orion 產品中的惡意代碼入侵

這導致攻擊者獲得瞭網絡中的立足點,攻擊者可以使用該立足點來獲得更高的憑據。 Microsoft Defender 現在可以檢測到這些文件。另請參見 SolarWinds 安全公告。

● 偽造 SAML 令牌

入侵者使用通過本地折衷獲得的管理權限來訪問組織的受信任的SAML令牌簽名證書。這樣一來,他們就可以偽造SAML令牌,以模擬組織的任何現有用戶和帳戶,包括特權較高的帳戶。

使用由受損的令牌簽名證書創建的SAML令牌進行的異常登錄,由於已對其進行瞭配置,因此可以將其用於任何本地資源(無論身份系統或供應商如何)以及任何雲環境(無論供應商如何)信任證書。由於SAML令牌是使用其自己的受信任證書簽名的,因此組織可能會遺漏異常。

● 獲取高權限賬戶

使用通過上述技術或其他方式獲得的高特權帳戶,攻擊者可以將自己的憑據添加到現有的應用程序服務主體,從而使他們能夠使用分配給該應用程序的權限來調用API。

Source: m.cnbeta.com