Microsoft ontkent "bewijs van succesvolle aanval" op hun platform

Home » veiligheid

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Uitgegeven op

by Surur Davids 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Microsoft

We rapporteerden gisteren over beschuldigingen dat Microsoft's Microsoft 365-platform werd misbruikt door hackers om het Amerikaanse ministerie van Financiën te bespioneren.

Microsoft heeft gereageerd door: een handleiding voor beheerders plaatsen "om potentiële kwaadaardige activiteiten te vinden en te beperken".

Ze ontkenden echter dat de cloud van Microsoft was aangetast en zeiden:

We willen onze klanten ook geruststellen dat we tijdens deze onderzoeken geen kwetsbaarheden in Microsoft-producten of cloudservices hebben geïdentificeerd.

Ze bevestigden echter dat er "op grote schaal natiestaatactiviteiten plaatsvonden, gericht op zowel de overheid als de particuliere sector", en waarschuwden het beveiligingspersoneel om op de volgende tekenen te letten:

  • Een inbraak via kwaadaardige code in het SolarWinds Orion-product. Dit heeft tot gevolg dat de aanvaller voet aan de grond krijgt in het netwerk, dat de aanvaller kan gebruiken om verhoogde referenties te verkrijgen. Microsoft Defender heeft nu detecties voor deze bestanden. Zie ook Beveiligingsadvies van SolarWinds.
  • Een indringer die beheerdersmachtigingen gebruikt die zijn verkregen via een on-premises compromis om toegang te krijgen tot het vertrouwde SAML-certificaat voor het ondertekenen van tokens. Hierdoor kunnen ze SAML-tokens vervalsen die zich voordoen als bestaande gebruikers en accounts van de organisatie, inclusief zeer geprivilegieerde accounts.
  • Afwijkende aanmeldingen met behulp van de SAML-tokens die zijn gemaakt door een gecompromitteerd token-ondertekeningscertificaat, dat kan worden gebruikt tegen alle on-premises bronnen (ongeacht identiteitssysteem of leverancier) en tegen elke cloudomgeving (ongeacht leverancier) omdat ze zijn geconfigureerd om het certificaat te vertrouwen. Omdat de SAML-tokens zijn ondertekend met hun eigen vertrouwde certificaat, kunnen de afwijkingen door de organisatie worden gemist.
  • Met behulp van zeer geprivilegieerde accounts die zijn verkregen via de bovenstaande techniek of op andere manieren, kunnen aanvallers hun eigen referenties toevoegen aan bestaande applicatieservice-principals, waardoor ze API's kunnen aanroepen met de aan die applicatie toegewezen machtiging.

Microsoft merkte op dat deze elementen niet bij elke aanval aanwezig zijn, maar drong er bij beheerders op aan om de volledige versie te lezen klantbegeleiding over de recente cyberaanvallen van nationale staten hier.

Meer over de onderwerpen: microsoft, veiligheid

Surur Davids

Surur Davids Schild

Smartphone-expert

Surur Davids is de oprichter van WMPoweruser, wat later MSPoweruser.com werd. Hij is een smartphone-expert met meer dan tien jaar ervaring.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *