(來自:Microsoft Blog)

微軟在文中列出瞭惡意代理開展復雜網絡攻擊的一些技術細節,比如通過 SolarWinds Orion 產品中的惡意代碼實施入侵。若被攻擊者得逞,後續黑客可能以此為跳板,在網絡中獲得更高的權限。

其次,攻擊者或利用本地竊取的管理員權限,獲得對機構內受信任 SAML 簽名證書的訪問權限。然後通過偽造 SAML 令牌,假扮組織內任何現有用戶的賬戶,甚至染指特權較高的賬戶。

為應對此類異常登錄,建議客戶在網絡系統上進行適當的安全配置,以區分訪問本地或雲端任何資源的可信證書。由於 SAML 令牌使用瞭自簽名證書,組織內很可能會忽視掉這部分異常。

利用上述或其它技術獲得瞭搞特權賬戶的訪問權限之後,攻擊者還可將自己的登錄憑證添加到現有的應用程序服務主體中,從而使之獲得相關應用程序的權限調用 API 。

至於 COVID-19 大流行期間的完整事件分析、以及社區對網絡安全的態度等問題,微軟將在完整版的 2020 數字防禦報告中進行闡述。

Source: m.cnbeta.com