Microsoft отрицает «доказательства успешной атаки» на их платформу

Главная » безопасность

Значок времени чтения 2 минута. читать

Значок календаря Опубликовано

by Сурур Давидс 

Опубликован в

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Microsoft

Вчера мы сообщали об утверждениях о том, что Хакеры использовали платформу Microsoft 365 для шпионажа за Министерством финансов США..

Майкрософт ответила размещение руководства для админов «для обнаружения и смягчения потенциальной вредоносной активности».

Однако они отрицали, что облако Microsoft было скомпрометировано, заявив:

Мы также хотим заверить наших клиентов в том, что в ходе этих расследований мы не обнаружили никаких уязвимостей в продуктах или облачных службах Microsoft.

Они, однако, подтвердили, что имеет место «национально-государственная деятельность в значительных масштабах, направленная как на правительство, так и на частный сектор», и предупредили сотрудников службы безопасности, чтобы они обращали внимание на следующие признаки:

  • Вторжение через вредоносный код в продукт SolarWinds Orion. Это приводит к тому, что злоумышленник закрепляется в сети, которую злоумышленник может использовать для получения повышенных учетных данных. Microsoft Defender теперь может обнаруживать эти файлы. Также см Рекомендации по безопасности SolarWinds.
  • Злоумышленник, использующий административные разрешения, полученные в результате локальной компрометации, получает доступ к доверенному сертификату для подписи токена SAML организации. Это позволяет им подделывать токены SAML, которые выдают себя за любых существующих пользователей и учетных записей организации, включая учетные записи с высоким уровнем привилегий.
  • Аномальные входы в систему с использованием токенов SAML, созданных скомпрометированным сертификатом для подписи токенов, которые можно использовать для любых локальных ресурсов (независимо от системы идентификации или поставщика), а также для любой облачной среды (независимо от поставщика), поскольку они были настроены доверять сертификату. Поскольку токены SAML подписаны собственным доверенным сертификатом, организация может пропустить аномалии.
  • Используя учетные записи с высоким уровнем привилегий, полученные с помощью описанного выше метода или другими способами, злоумышленники могут добавлять свои собственные учетные данные к существующим субъектам-службам приложений, что позволяет им вызывать API-интерфейсы с разрешениями, назначенными этому приложению.

Microsoft отметила, что эти элементы присутствуют не во всех атаках, но призвала администраторов прочитать их полностью. руководство для клиентов о недавних кибератаках на уровне государства здесь.

Подробнее о темах: Microsoft, безопасность

Сурур Давидс

Сурур Давидс Щит

Эксперт по смартфонам

Сурур Давидс — основатель WMPoweruser, который позже стал MSPoweruser.com. Он эксперт по смартфонам с более чем десятилетним опытом.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *