مایکروسافت "شواهد حمله موفقیت آمیز" به پلتفرم خود را رد می کند
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
ما دیروز در مورد این ادعاها گزارش دادیم پلتفرم مایکروسافت 365 توسط هکرها برای جاسوسی از وزارت خزانه داری آمریکا مورد سوء استفاده قرار گرفت.
مایکروسافت پاسخ داده است ارسال راهنما برای ادمین ها "برای یافتن و کاهش فعالیت های مخرب بالقوه".
با این حال، آنها به خطر افتادن ابر مایکروسافت را رد کردند و گفتند:
همچنین میخواهیم به مشتریان خود اطمینان دهیم که در این تحقیقات هیچ آسیبپذیری محصول یا سرویس ابری مایکروسافت را شناسایی نکردهایم.
با این حال، آنها تأیید کردند که "فعالیت دولت-ملت در مقیاس قابل توجه، هم برای دولت و هم بخش خصوصی" در حال انجام است، و به کارکنان امنیتی هشدار دادند که مراقب علائم زیر باشند:
- نفوذ از طریق کد مخرب در محصول SolarWinds Orion. این باعث می شود که مهاجم جایگاهی در شبکه پیدا کند که مهاجم می تواند از آن برای به دست آوردن اعتبار بالا استفاده کند. Microsoft Defender اکنون شناسایی هایی برای این فایل ها دارد. همچنین مشاهده کنید مشاوره امنیتی SolarWinds.
- یک مزاحم که از مجوزهای مدیریتی به دست آمده از طریق سازش داخلی برای دسترسی به گواهی امضای نشانه SAML مورد اعتماد سازمان استفاده می کند. این به آنها امکان میدهد تا توکنهای SAML را جعل کنند که هویت هر یک از کاربران و حسابهای موجود سازمان، از جمله حسابهای دارای امتیاز بالا را جعل کنند.
- ورودهای غیرعادی با استفاده از توکنهای SAML ایجاد شده توسط گواهی امضای نشانه در معرض خطر، که میتواند در برابر هر منبع داخلی (صرف نظر از سیستم هویت یا فروشنده) و همچنین در برابر هر محیط ابری (بدون توجه به فروشنده) استفاده شود، زیرا آنها پیکربندی شدهاند. برای اعتماد به گواهی از آنجا که توکنهای SAML با گواهی مورد اعتماد خود امضا میشوند، ممکن است سازمان ناهنجاریها را از دست بدهد.
- با استفاده از حسابهای دارای امتیاز بالا که از طریق تکنیک بالا یا روشهای دیگر بهدست میآیند، مهاجمان ممکن است اعتبار خود را به اصول سرویس برنامههای کاربردی موجود اضافه کنند و آنها را قادر میسازد تا APIها را با مجوز اختصاص داده شده به آن برنامه فراخوانی کنند.
مایکروسافت خاطرنشان کرد که این عناصر در هر حمله وجود ندارد، اما از مدیران خواست تا کامل آنها را مطالعه کنند راهنمای مشتری در مورد حملات سایبری اخیر دولت ملت در اینجا.