Microsoft zanika "dokaze o uspešnem napadu" na njihovo platformo
2 min. prebrati
Objavljeno dne
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
O obtožbah smo poročali včeraj Hekerji so zlorabili Microsoftovo platformo Microsoft 365 za vohunjenje za ameriško ministrstvo za finance.
Microsoft se je odzval z objavljanje vodnika za administratorje "poiskati in ublažiti morebitno zlonamerno dejavnost".
Vendar so zanikali, da je bil Microsoftov oblak ogrožen, in dejal:
Stranke želimo tudi pomiriti, da v teh preiskavah nismo odkrili nobenih ranljivosti Microsoftovih izdelkov ali storitev v oblaku.
Vendar so potrdili, da poteka "dejavnost nacionalne države v velikem obsegu, ki je namenjena tako vladi kot zasebnemu sektorju", in opozorilo varnostno osebje, naj bo pozorno na naslednje znake:
- Vdor z zlonamerno kodo v izdelek SolarWinds Orion. Posledica tega je, da se napadalec uveljavi v omrežju, ki ga lahko uporabi za pridobitev povišanih poverilnic. Microsoft Defender ima zdaj zaznave za te datoteke. Tudi glej Varnostno svetovanje SolarWinds.
- Vsiljivec, ki uporablja skrbniška dovoljenja, pridobljena z lokalnim kompromisom, da pridobi dostop do zaupanja vrednega potrdila za podpisovanje žetonov SAML organizacije. To jim omogoča ponarejanje žetonov SAML, ki oponašajo katerega koli od obstoječih uporabnikov in računov organizacije, vključno z zelo privilegiranimi računi.
- Nepravilne prijave z uporabo žetonov SAML, ustvarjenih z ogroženim potrdilom za podpisovanje žetonov, ki se lahko uporabijo proti katerim koli lokalnim virom (ne glede na sistem identitete ali prodajalca) kot tudi proti katerem koli okolju v oblaku (ne glede na ponudnika), ker so bili konfigurirani zaupati certifikatu. Ker so žetoni SAML podpisani z lastnim zaupanja vrednim potrdilom, lahko organizacija zamudi anomalije.
- Z uporabo visoko privilegiranih računov, pridobljenih z zgornjo tehniko ali na druge načine, lahko napadalci dodajo svoje poverilnice obstoječim principalom aplikacijskih storitev, kar jim omogoči klic API-jev z dovoljenjem, dodeljenim tej aplikaciji.
Microsoft je opozoril, da ti elementi niso prisotni pri vsakem napadu, vendar je skrbnike pozval, naj jih preberejo v celoti navodila za stranke o nedavnih kibernetskih napadih nacionalnih držav tukaj.