מיקרוסופט מכחישה "ראיות להתקפה מוצלחת" נגד הפלטפורמה שלה

דיווחנו אתמול על האשמות כך פלטפורמת Microsoft 365 של מיקרוסופט נוצלה לרעה על ידי האקרים כדי לרגל אחר משרד האוצר האמריקאי.

מיקרוסופט הגיבה על ידי פרסום מדריך למנהלים "למצוא ולהפחית פעילות זדונית פוטנציאלית".

עם זאת, הם הכחישו שהענן של מיקרוסופט נפגע, ואמרו:

אנחנו גם רוצים להרגיע את הלקוחות שלנו שלא זיהינו שום פגיעות במוצר או בשירותי ענן של Microsoft בחקירות אלה.

עם זאת, הם אישרו כי מתקיימת "פעילות מדינת לאום בקנה מידה משמעותי, המכוונת הן למגזר הממשלתי והן למגזר הפרטי", והזהירו את צוות הביטחון להיזהר מהסימנים הבאים:

• חדירה דרך קוד זדוני במוצר SolarWinds Orion. כתוצאה מכך התוקף מקבל דריסת רגל ברשת, שבה יכול התוקף להשתמש כדי להשיג אישורים גבוהים. ל- Microsoft Defender יש כעת זיהויים עבור קבצים אלה. כמו כן, ראה ייעוץ אבטחה של SolarWinds.
• פולש המשתמש בהרשאות ניהול שנרכשו באמצעות פשרה מקומית כדי לקבל גישה לאישור חתימת אסימוני SAML מהימן של ארגון. זה מאפשר להם לזייף אסימוני SAML שמתחזות לכל אחד מהמשתמשים והחשבונות הקיימים בארגון, כולל חשבונות בעלי זכויות יתר.
• כניסות חריגות באמצעות אסימוני SAML שנוצרו על ידי אישור חתימת אסימון שנפרץ, שניתן להשתמש בו כנגד כל משאבים מקומיים (ללא קשר למערכת זהות או ספק) וכן כנגד כל סביבת ענן (ללא קשר לספק) מכיוון שהם הוגדרו לתת אמון בתעודה. מכיוון שאסימוני SAML חתומים עם אישור מהימן משלהם, הארגון עלול להחמיץ את החריגות.
• באמצעות חשבונות בעלי זכויות יתר שנרכשו באמצעות הטכניקה שלמעלה או באמצעים אחרים, תוקפים עשויים להוסיף אישורים משלהם למנהלי שירות היישומים הקיימים, ולאפשר להם להתקשר לממשקי API עם ההרשאה שהוקצתה ליישום זה.

מיקרוסופט ציינה שאלמנטים אלה אינם נוכחים בכל התקפה, אך קראה למנהלים לקרוא את המלאים שלהם הנחיית לקוחות על מתקפות הסייבר האחרונות של מדינות לאום כאן.