Microsoft ปฏิเสธ "หลักฐานการโจมตีที่ประสบความสำเร็จ" ต่อแพลตฟอร์มของตน

เรารายงานเมื่อวานนี้ในข้อกล่าวหาที่ แพลตฟอร์ม Microsoft 365 ของ Microsoft ถูกแฮ็กเกอร์ล่วงละเมิดเพื่อสอดแนมกระทรวงการคลังสหรัฐ.

Microsoft ได้ตอบกลับโดย โพสต์คู่มือสำหรับแอดมิน “เพื่อค้นหาและบรรเทากิจกรรมที่อาจเป็นอันตราย”

อย่างไรก็ตาม พวกเขาปฏิเสธว่าระบบคลาวด์ของ Microsoft ถูกบุกรุก โดยกล่าวว่า:

เรายังต้องการสร้างความมั่นใจให้กับลูกค้าว่าเราไม่ได้ระบุผลิตภัณฑ์ของ Microsoft หรือช่องโหว่ของบริการระบบคลาวด์ในการตรวจสอบเหล่านี้

อย่างไรก็ตาม พวกเขายืนยันว่า “กิจกรรมระดับชาติและระดับชาติที่มีนัยสำคัญ มุ่งเป้าไปที่ทั้งภาครัฐและเอกชน” กำลังเกิดขึ้น และเตือนเจ้าหน้าที่รักษาความปลอดภัยให้ระวังสัญญาณต่อไปนี้:

• การบุกรุกผ่านโค้ดที่เป็นอันตรายในผลิตภัณฑ์ SolarWinds Orion ส่งผลให้ผู้โจมตีตั้งหลักในเครือข่าย ซึ่งผู้โจมตีสามารถใช้เพื่อรับข้อมูลประจำตัวที่ยกระดับได้ ขณะนี้ Microsoft Defender มีการตรวจหาไฟล์เหล่านี้ ดูเพิ่มเติมที่ คำแนะนำด้านความปลอดภัย SolarWinds.
• ผู้บุกรุกที่ใช้สิทธิ์ของผู้ดูแลระบบที่ได้รับผ่านการประนีประนอมในองค์กรเพื่อเข้าถึงใบรับรองการลงนามโทเค็น SAML ที่เชื่อถือได้ขององค์กร ซึ่งช่วยให้พวกเขาปลอมแปลงโทเค็น SAML ที่แอบอ้างเป็นผู้ใช้และบัญชีที่มีอยู่ขององค์กร รวมถึงบัญชีที่มีสิทธิพิเศษสูง
• การเข้าสู่ระบบที่ผิดปกติโดยใช้โทเค็น SAML ที่สร้างโดยใบรับรองการลงนามโทเค็นที่ถูกบุกรุก ซึ่งสามารถใช้กับทรัพยากรในองค์กรใดๆ (โดยไม่คำนึงถึงระบบข้อมูลระบุตัวตนหรือผู้ขาย) รวมถึงในสภาพแวดล้อมคลาวด์ใดๆ (โดยไม่คำนึงถึงผู้ขาย) เนื่องจากได้รับการกำหนดค่าแล้ว ที่จะไว้วางใจใบรับรอง เนื่องจากโทเค็น SAML มีการลงนามด้วยใบรับรองที่เชื่อถือได้ องค์กรจึงอาจมองข้ามความผิดปกติ
• การใช้บัญชีที่มีสิทธิพิเศษสูงที่ได้มาจากเทคนิคข้างต้นหรือวิธีการอื่นๆ ผู้โจมตีอาจเพิ่มข้อมูลประจำตัวของตนเองในหลักการบริการแอปพลิเคชันที่มีอยู่ ทำให้พวกเขาสามารถเรียก API โดยได้รับอนุญาตที่ได้รับมอบหมายให้แอปพลิเคชันนั้น

Microsoft ตั้งข้อสังเกตว่าองค์ประกอบเหล่านี้ไม่ได้มีอยู่ในทุกการโจมตี แต่ขอแนะนำให้ผู้ดูแลระบบอ่านแบบเต็ม คำแนะนำลูกค้าเกี่ยวกับการโจมตีทางไซเบอร์ของรัฐชาติล่าสุดที่นี่