Microsoft、自社プラットフォームに対する「攻撃が成功した証拠」を否定

昨日、次のような申し立てについて報告しました MicrosoftのMicrosoft365プラットフォームは、米国財務省をスパイするためにハッカーによって悪用されました.

マイクロソフトは 管理者向けのガイドを投稿する 「潜在的な悪意のある活動を見つけて軽減する」。

しかし、彼らはマイクロソフトのクラウドが危険にさらされていることを否定し、次のように述べています。

また、これらの調査でマイクロソフト製品またはクラウドサービスの脆弱性が特定されていないことをお客様に安心させたいと考えています。

しかし、彼らは「政府と民間部門の両方を対象とした大規模な国民国家活動」が行われていることを確認し、警備員に次の兆候に注意するよう警告した。

• SolarWindsOrion製品の悪意のあるコードによる侵入。 これにより、攻撃者はネットワークに足場を築き、攻撃者はこれを使用して昇格した資格情報を取得できます。 Microsoft Defenderは、これらのファイルを検出できるようになりました。 また、参照してください SolarWindsセキュリティアドバイザリ.
• オンプレミスの侵害を通じて取得した管理者権限を使用して、組織の信頼できるSAMLトークン署名証明書にアクセスする侵入者。 これにより、特権の高いアカウントを含む、組織の既存のユーザーやアカウントになりすますSAMLトークンを偽造することができます。
• 侵害されたトークン署名証明書によって作成されたSAMLトークンを使用した異常なログイン。これは、構成されているため、オンプレミスリソース（IDシステムまたはベンダーに関係なく）およびクラウド環境（ベンダーに関係なく）に対して使用できます。証明書を信頼します。 SAMLトークンは独自の信頼できる証明書で署名されているため、組織は異常を見逃す可能性があります。
• 攻撃者は、上記の手法またはその他の方法で取得した特権の高いアカウントを使用して、既存のアプリケーションサービスプリンシパルに独自の資格情報を追加し、そのアプリケーションに割り当てられた権限でAPIを呼び出すことができます。

Microsoftは、これらの要素がすべての攻撃に存在するわけではないことを指摘しましたが、管理者にそれらの全文を読むように促しました 最近の国民国家のサイバー攻撃に関する顧客ガイダンスはこちら。