Microsoft nega "prove di un attacco riuscito" contro la propria piattaforma

Casa » problemi di

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del

by Surur Davids 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Microsoft

Abbiamo riferito ieri sulle accuse che La piattaforma Microsoft 365 di Microsoft è stata sfruttata dagli hacker per spiare il Dipartimento del Tesoro degli Stati Uniti.

Microsoft ha risposto da pubblicando una guida per gli amministratori “per individuare e mitigare potenziali attività dannose”.

Tuttavia, hanno negato che il cloud di Microsoft sia stato compromesso, affermando:

Vogliamo inoltre rassicurare i nostri clienti che non abbiamo identificato alcuna vulnerabilità dei prodotti Microsoft o dei servizi cloud in queste indagini.

Tuttavia, hanno confermato che si stava svolgendo “un’attività statale su scala significativa, rivolta sia al settore governativo che a quello privato”, e hanno avvertito il personale di sicurezza di prestare attenzione ai seguenti segnali:

  • Un'intrusione tramite codice dannoso nel prodotto SolarWinds Orion. Ciò fa sì che l'aggressore guadagni un punto d'appoggio nella rete, che può utilizzare per ottenere credenziali elevate. Microsoft Defender ora dispone di rilevamenti per questi file. Vedi anche Avviso sulla sicurezza di SolarWinds.
  • Un intruso che utilizza le autorizzazioni amministrative acquisite tramite una compromissione locale per ottenere l'accesso al certificato di firma token SAML attendibile di un'organizzazione. Ciò consente loro di creare token SAML che impersonano qualsiasi utente e account esistente dell'organizzazione, inclusi gli account con privilegi elevati.
  • Accessi anomali utilizzando i token SAML creati da un certificato di firma di token compromesso, che può essere utilizzato contro qualsiasi risorsa locale (indipendentemente dal sistema di identità o dal fornitore) nonché contro qualsiasi ambiente cloud (indipendentemente dal fornitore) perché sono stati configurati fidarsi del certificato. Poiché i token SAML sono firmati con il proprio certificato attendibile, le anomalie potrebbero non essere rilevate dall'organizzazione.
  • Utilizzando account con privilegi elevati acquisiti tramite la tecnica sopra descritta o con altri mezzi, gli aggressori possono aggiungere le proprie credenziali alle entità servizio dell'applicazione esistenti, consentendo loro di chiamare le API con l'autorizzazione assegnata a tale applicazione.

Microsoft ha notato che questi elementi non sono presenti in ogni attacco, ma ha invitato gli amministratori a leggerli integralmente indicazioni per i clienti sui recenti attacchi informatici a livello nazionale qui.

Maggiori informazioni sugli argomenti: microsoft, problemi di

Surur Davids

Surur Davids Scudo

Esperto di smartphone

Surur Davids è il fondatore di WMPoweruser che in seguito divenne MSPoweruser.com. È un esperto di smartphone con oltre un decennio di esperienza.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *