Microsoft отрицает «доказательства успешной атаки» на их платформу
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Вчера мы сообщали об утверждениях о том, что Хакеры использовали платформу Microsoft 365 для шпионажа за Министерством финансов США..
Майкрософт ответила размещение руководства для админов «для обнаружения и смягчения потенциальной вредоносной активности».
Однако они отрицали, что облако Microsoft было скомпрометировано, заявив:
Мы также хотим заверить наших клиентов в том, что в ходе этих расследований мы не обнаружили никаких уязвимостей в продуктах или облачных службах Microsoft.
Они, однако, подтвердили, что имеет место «национально-государственная деятельность в значительных масштабах, направленная как на правительство, так и на частный сектор», и предупредили сотрудников службы безопасности, чтобы они обращали внимание на следующие признаки:
- Вторжение через вредоносный код в продукт SolarWinds Orion. Это приводит к тому, что злоумышленник закрепляется в сети, которую злоумышленник может использовать для получения повышенных учетных данных. Microsoft Defender теперь может обнаруживать эти файлы. Также см Рекомендации по безопасности SolarWinds.
- Злоумышленник, использующий административные разрешения, полученные в результате локальной компрометации, получает доступ к доверенному сертификату для подписи токена SAML организации. Это позволяет им подделывать токены SAML, которые выдают себя за любых существующих пользователей и учетных записей организации, включая учетные записи с высоким уровнем привилегий.
- Аномальные входы в систему с использованием токенов SAML, созданных скомпрометированным сертификатом для подписи токенов, которые можно использовать для любых локальных ресурсов (независимо от системы идентификации или поставщика), а также для любой облачной среды (независимо от поставщика), поскольку они были настроены доверять сертификату. Поскольку токены SAML подписаны собственным доверенным сертификатом, организация может пропустить аномалии.
- Используя учетные записи с высоким уровнем привилегий, полученные с помощью описанного выше метода или другими способами, злоумышленники могут добавлять свои собственные учетные данные к существующим субъектам-службам приложений, что позволяет им вызывать API-интерфейсы с разрешениями, назначенными этому приложению.
Microsoft отметила, что эти элементы присутствуют не во всех атаках, но призвала администраторов прочитать их полностью. руководство для клиентов о недавних кибератаках на уровне государства здесь.