Microsoft는 자사 플랫폼에 대한 "성공적인 공격의 증거"를 부인합니다.
2 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
독자들은 MSpoweruser를 지원하는 데 도움을 줍니다. 당사의 링크를 통해 구매하시면 수수료를 받을 수 있습니다.
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
우리는 어제 Microsoft의 Microsoft 365 플랫폼이 해커에 의해 악용되어 미 재무부를 염탐했습니다..
Microsoft는 다음과 같이 응답했습니다. 관리자를 위한 가이드 게시 "잠재적인 악성 활동을 찾고 완화하기 위해".
그러나 그들은 다음과 같이 말하면서 Microsoft의 클라우드가 손상되었음을 부인했습니다.
또한 이러한 조사에서 Microsoft 제품 또는 클라우드 서비스 취약점을 식별하지 못했다는 점을 고객에게 안심시켜 드리고자 합니다.
그러나 그들은 "정부와 민간 부문 모두를 대상으로 한 상당한 규모의 국가 국가 활동"이 일어나고 있음을 확인하고 보안 직원에게 다음 징후에 주의할 것을 경고했습니다.
- SolarWinds Orion 제품의 악성 코드를 통한 침입. 그 결과 공격자가 네트워크에서 발판을 확보하게 되며, 이를 통해 공격자는 상승된 자격 증명을 얻을 수 있습니다. 이제 Microsoft Defender에 이러한 파일에 대한 검색 기능이 있습니다. 또한 참조 SolarWinds 보안 권고.
- 조직의 신뢰할 수 있는 SAML 토큰 서명 인증서에 액세스하기 위해 온프레미스 손상을 통해 획득한 관리 권한을 사용하는 침입자. 이를 통해 높은 권한의 계정을 포함하여 조직의 기존 사용자 및 계정을 가장하는 SAML 토큰을 위조할 수 있습니다.
- 손상된 토큰 서명 인증서로 생성된 SAML 토큰을 사용하는 비정상적인 로그인은 모든 온프레미스 리소스(ID 시스템 또는 공급업체에 관계 없음)는 물론 구성되어 있으므로 모든 클라우드 환경(공급업체에 관계 없이)에 대해 사용할 수 있습니다. 인증서를 신뢰합니다. SAML 토큰은 신뢰할 수 있는 자체 인증서로 서명되기 때문에 조직에서 이상 징후를 놓칠 수 있습니다.
- 위의 기술이나 다른 수단을 통해 획득한 높은 권한의 계정을 사용하여 공격자는 기존 애플리케이션 서비스 주체에 자신의 자격 증명을 추가하여 해당 애플리케이션에 할당된 권한으로 API를 호출할 수 있습니다.
Microsoft는 이러한 요소가 모든 공격에 존재하는 것은 아니지만 관리자에게 전체 공격을 읽을 것을 촉구했습니다. 최근 국가 사이버 공격에 대한 고객 지침은 여기를 참조하십시오.
